Cybersikkerhed i EU's institutioner, organer og agenturer: Beredskabsniveauet står samlet set ikke mål med truslerne
Om denne beretning:Antallet af cyberangreb på EU's institutioner, organer og agenturer er kraftigt stigende. Da EU's institutioner, organer og agenturer er tæt forbundne, kan svagheder i én eller ét af dem udsætte de andre for sikkerhedstrusler. Vi undersøgte, om EU's institutioner, organer og agenturer har passende ordninger til at beskytte sig mod cybertrusler. Vi konstaterede, at EU-institutionernes, -organernes og -agenturernes beredskabsniveau samlet set ikke står mål med truslerne, og at de har meget forskellige modenhedsniveauer, når det gælder cybersikkerhed. Vi anbefaler, at Kommissionen forbedrer EU-institutionernes, -organernes og -agenturernes beredskab ved at fremsætte forslag om indførelse af bindende cybersikkerhedsregler og øgede ressourcer til IT-Beredskabsenheden for EU's Institutioner, Organer og Agenturer (CERT-EU). Kommissionen bør endvidere fremme yderligere synergier mellem EU-institutionerne, -organerne og -agenturerne, og CERT-EU og Den Europæiske Unions Agentur for Cybersikkerhed bør koncentrere deres støtte om mindre modne EU-institutioner, -organer og -agenturer.
Særberetning fra Revisionsretten udarbejdet i medfør af artikel 287, stk. 4, andet afsnit, TEUF.
Resumé
I I EU's forordning om cybersikkerhed defineres cybersikkerhed som "de aktiviteter, der er nødvendige for at beskytte net- og informationssystemer, brugerne af sådanne systemer og andre personer berørt af cybertrusler". EU's institutioner, organer og agenturer er på grund af de følsomme oplysninger, de behandler, attraktive mål for potentielle angribere, navnlig grupper, der er i stand til at udføre meget avancerede hemmelige angreb med cyberspionage eller andre formål for øje. EU's institutioner, organer og agenturer er tæt forbundne trods deres institutionelle og administrative uafhængighed. Svagheder i de enkelte EU-institutioner, -organer og -agenturer kan derfor udsætte de andre for sikkerhedstrusler.
II Da antallet af cyberangreb på EU's institutioner, organer og agenturer er kraftigt stigende, var formålet med denne revision at fastslå, om EU's institutioner, organer og agenturer som helhed har truffet relevante foranstaltninger til at beskytte sig mod cybertrusler. Vi konkluderer, at EU's institutioner, organer og agenturer som helhed ikke har opnået et cyberberedskabsniveau, der står mål med truslerne.
III Vi konstaterede, at der ikke altid blev anvendt gode centrale praksis, herunder visse væsentlige kontroller, på cybersikkerhedsområdet, og at en række af EU's institutioner, organer og agenturer tydeligvis bruger for få midler på cybersikkerhed. I nogle af EU's institutioner, organer og agenturer er der desuden endnu ikke indført solid forvaltning af cybersikkerhed: IT-sikkerhedsstrategier er der i mange tilfælde ingen af, eller også er de ikke godkendt af den øverste ledelse. Desuden er sikkerhedspolitikkerne er ikke altid formaliseret, og risikovurderinger dækker ikke hele IT-miljøet. Ikke alle EU-institutioner, -organer og -agenturer får regelmæssigt foretaget uafhængig kontrol af deres cybersikkerhed.
IV Der tilbydes ikke altid uddannelse i cybersikkerhed på et systematisk grundlag. Kun lidt over halvdelen af EU's institutioner, organer og agenturer tilbyder deres IT-medarbejdere og IT-sikkerhedsspecialister løbende uddannelse i cybersikkerhed. Kun få af EU's institutioner, organer og agenturer tilbyder ledere med ansvar for IT-systemer, der indeholder følsomme oplysninger, obligatorisk uddannelse i cybersikkerhed. Phishingøvelser er et vigtigt værktøj til at uddanne og bevidstgøre ansatte, men ikke alle EU-institutioner, -organer og -agenturer gør systematisk brug af dem.
V Selv om EU's institutioner, organer og agenturer har etableret strukturer for samarbejde og informationsudveksling om cybersikkerhed, bemærkede vi, at potentielle synergier ikke udnyttes fuldt ud. EU's institutioner, organer og agenturer udveksler ikke systematisk oplysninger med hinanden om cybersikkerhedsrelaterede projekter, sikkerhedsvurderinger og tjenesteydelseskontrakter. Desuden er grundlæggende kommunikationsværktøjer som krypterede e-mail og videokonferenceløsninger ikke fuldt ud interoperable. Det kan medføre mindre sikker udveksling af oplysninger, dobbeltarbejde og øgede omkostninger.
VI IT-Beredskabsenheden for EU's Institutioner, Organer og Agenturer (CERT-EU) og Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) er de to hovedenheder med ansvar for at støtte EU's institutioner, organer og agenturer på cybersikkerhedsområdet. Ressourcemæssige begrænsninger og prioritering af andre områder betyder imidlertid, at disse to enheder ikke har været i stand til at yde EU's institutioner, organer og agenturer al den støtte, de har brug for, navnlig i forbindelse med kapacitetsopbygning i EU-institutioner, -organer og -agenturer med et lavere modenhedsniveau. CERT-EU er højt værdsat af EU's institutioner, organer og agenturer, men enhedens effektivitet forringes af en stigende arbejdsbyrde, ustabil finansiering og bemanding og utilstrækkeligt samarbejde fra nogle af institutionernes, organernes og agenturernes side, og disse deler ikke altid i rette tid oplysninger om de sårbarheder og væsentlige cybersikkerhedshændelser, som har påvirket dem eller kan påvirke de andre.
VII På grundlag af disse konklusioner anbefaler vi, at:
- Kommissionen forbedrer EU-institutionernes, -organernes og -agenturernes cybersikkerhedsberedskab ved at fremsætte et lovgivningsforslag om indførelse af bindende cybersikkerhedsregler for alle EU-institutioner, -organer og -agenturer og øgede ressourcer til CERT-EU
- Kommissionen inden for rammerne af det interinstitutionelle udvalg for digital omstilling fremmer yderligere synergier mellem EU's institutioner, organer og agenturer på udvalgte områder
- CERT-EU og ENISA øger deres fokus på EU-institutioner, -organer og -agenturer, der har et lavere modenhedsniveau med hensyn til cybersikkerhed.
Indledning
Hvad er cybersikkerhed?
01 I EU's forordning om cybersikkerhed1 defineres cybersikkerhed som "de aktiviteter, der er nødvendige for at beskytte net- og informationssystemer, brugerne af sådanne systemer og andre personer berørt af cybertrusler". Cybersikkerhed bygger på informationssikkerhed, som handler om at bevare oplysningers fortrolighed, integritet og tilgængelighed2, hvad enten de er i fysisk eller elektronisk form. Beskyttelsen af de net- og informationssystemer, hvor sådanne oplysninger opbevares, går under betegnelsen informationsteknologisk sikkerhed (IT-sikkerhed) (jf. figur 1).
02 Som disciplin omfatter cybersikkerhed identificering, forebyggelse, opdagelse og håndtering af cyberhændelser og efterfølgende genopretning. Hændelser kan f.eks. spænde fra utilsigtet videregivelse af oplysninger til angreb, der har til formål at skade kritisk infrastruktur, samt identitetstyveri og tyveri af personoplysninger3.
03 En ramme for cybersikkerhed omfatter mange elementer, herunder krav til og tekniske kontroller af sikkerheden i net- og informationssystemer samt relevante forvaltningsordninger og cyberbevidstgørelsesprogrammer for ansatte.
Cybersikkerhed i EU's institutioner, organer og agenturer
04 EU's institutioner, organer og agenturer er på grund af de følsomme oplysninger, de behandler, attraktive mål for potentielle angribere, navnlig grupper, der er i stand til at udføre meget avancerede hemmelige angreb ("avancerede vedvarende trusler") med cyberspionage og andre formål for øje4. Vellykkede cyberangreb mod EU's institutioner, organer og agenturer kan have betydelige politiske konsekvenser og kan skade EU's generelle omdømme og undergrave tilliden til EU's institutioner.
05 Ligesom mange andre organisationer verden over har EU's institutioner, organer og agenturer på grund af covid-19-pandemien været nødsaget til meget pludseligt at fremskynde den digitale omstilling og tage telearbejde til sig. Det har øget antallet af potentielle adgangspunkter for angribere ("angrebsfladen") betydeligt og har udvidet de enkelte organisationers perimetre til internetforbundne hjem og mobile enheder, hvor nye sårbarheder kan udnyttes. Fjernadgangstjenester er en af de mest almindelige veje, ad hvilke de grupper, der angriber EU's institutioner, organer og agenturer med avancerede vedvarende trusler, opnår adgang til deres netværk5.
06 Antallet af cyberhændelser er stigende, og en særligt bekymrende tendens er den meget store stigning i antallet af væsentlige hændelser, der påvirker EU's institutioner, organer og agenturer6, og som i 2021 nåede en ny rekord. Væsentlige hændelser er hændelser, der hverken er gentagende eller grundlæggende. De indebærer typisk anvendelse af nye metoder og teknologier, og det kan tage uger, hvis ikke måneder, at efterforske dem og genoprette systemerne efter deres indtræffelse. Antallet af væsentlige hændelser blev mere end tidoblet mellem 2018 og 20217. Mindst 22 individuelle EU-institutioner, -organer og -agenturer er blevet ramt af væsentlige hændelser alene i de seneste to år. Et nyligt eksempel var cyberangrebet på Det Europæiske Lægemiddelagentur, hvor følsomme data blev lækket og manipuleret på en måde, der skulle undergrave tilliden til vacciner8.
07 EU's institutioner, organer og agenturer er en meget heterogen gruppe. De syv institutioner er oprettet ved traktaterne. De decentrale agenturer og andre organer er derimod oprettet ved afledt EU-ret og er hver især særskilte retlige enheder. Agenturerne har forskellig retlig status: Der er seks forvaltningsorganer under Kommissionen og 37 decentrale EU-agenturer9. EU's institutioner, organer og agenturer omfatter også EU-kontorer, et diplomatisk korps (Tjenesten for EU's Optræden Udadtil), fællesforetagender og andre organer. EU's institutioner, organer og agenturer er hver især ansvarlige for at fastlægge egne cybersikkerhedskrav og gennemføre egne sikkerhedsforanstaltninger.
08 For at styrke cybersikkerheden i EU's institutioner, organer og agenturer oprettede Kommissionen i 2012 IT-Beredskabsenheden for EU's Institutioner, Organer og Agenturer (CERT-EU) som en permanent taskforce. CERT-EU fungerer som EU-institutionernes, -organernes og -agenturernes knudepunkt for udveksling af cybersikkerhedsoplysninger og for koordinering af håndteringen af cyberhændelser. CERT-EU samarbejder med andre enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er) i medlemsstaterne, og specialiserede IT-sikkerhedsfirmaer. Organisationen og driften af CERT-EU er i øjeblikket reguleret af en interinstitutionel aftale fra 201810 mellem de EU-institutioner, -organer og -agenturer, som enheden betjener, også benævnt dens "deltagere". Der er i øjeblikket 87 deltagere.
09 En anden nøgleaktør, der støtter EU's institutioner, organer og agenturer, er Den Europæiske Unions Agentur for Cybersikkerhed (ENISA), som har til opgave at sikre et højt fælles cybersikkerhedsniveau i EU. ENISA blev oprettet i 2004. Dets mission er at øge pålideligheden af informations- og kommunikationsteknologiprodukter, -processer og -tjenester ved hjælp af cybersikkerhedscertificeringsordninger, at samarbejde med EU's institutioner, organer og agenturer og medlemsstaterne og at hjælpe disse med at etablere et beredskab til håndtering af cybertrusler. ENISA bistår EU's institutioner, organer og agenturer med kapacitetsopbygning og operationelt samarbejde.
10 På trods af deres institutionelle uafhængighed er EU's institutioner, organer og agenturer indbyrdes tæt forbundne. De udveksler dagligt information og deler en række fælles systemer og netværk. Svagheder i de enkelte EU-institutioner, -organer og -agenturer kan udsætte de andre for sikkerhedstrusler, da mange cyberangreb bevæger sig igennem flere trin for at nå deres endelige mål11. Et vellykket angreb på en svagere institution eller et svagere organ eller agentur kan bruges som et springbræt til at ramme andre. EU's institutioner, organer og agenturer er også forbundet med offentlige og private organisationer i medlemsstaterne, og hvis disse ikke har et tilstrækkeligt cyberberedskab, kan de på tilsvarende vis udsætte EU's institutioner, organer og agenturer for cybertrusler.
11 I øjeblikket findes der ingen retlige rammer for informationssikkerhed og cybersikkerhed i EU's institutioner, organer og agenturer. De er ikke omfattet af den bredeste EU-lovgivning om cybersikkerhed, dvs. NIS-direktivet fra 201612, og heller ikke af den foreslåede revision heraf, dvs. NIS2-direktivet13. Der foreligger heller ingen dækkende information om det beløb, EU's institutioner, organer og agenturer bruger på cybersikkerhed.
12 I juli 2020 udsendte Kommissionen en meddelelse om strategien for EU's sikkerhedsunion14 for perioden 2020-2025. De vigtigste tiltag omfatter "fælles regler om informationssikkerhed og cybersikkerhed for EU's institutioner, organer og agenturer". Denne nye ramme skal understøtte et stærkt og effektivt operationelt samarbejde, der er centreret om CERT-EU's rolle. I EU's strategi for cybersikkerhed for det digitale årti15, der blev udsendt i december 2020, forpligtede Kommissionen sig til at foreslå en forordning om fælles cybersikkerhedsbestemmelser for alle EU's institutioner, organer og agenturer. Den foreslog også at etablere et nyt retsgrundlag for CERT-EU for at styrke enhedens mandat og finansiering.
Revisionens omfang og revisionsmetoden
13 Da antallet af cyberangreb er kraftigt stigende, og svagheder i én EU-institution/ét EU-organ/-agentur kan udsætte de andre for sikkerhedstrusler, var formålet med denne revision at fastslå, om EU's institutioner, organer og agenturer som helhed har truffet relevante foranstaltninger til at beskytte sig mod cybertrusler. For at besvare dette overordnede revisionsspørgsmål søgte vi svar på tre underspørgsmål:
- Er der indført centrale cybersikkerhedspraksis i EU's institutioner, organer og agenturer?
- Er der et effektivt samarbejde mellem EU's institutioner, organer og agenturer om cybersikkerhed?
- Yder ENISA og CERT-EU relevant støtte til EU's institutioner, organer og agenturer på cybersikkerhedsområdet?
14 Tidspunktet for revisionen er tilpasset strategien for EU's sikkerhedsunion. Ved at vurdere de nuværende cybersikkerhedsordninger i EU's institutioner, organer og agenturer sigter vi mod at identificere de områder, hvor der er plads til forbedring, og som Kommissionen kan tage med i betragtning, når den udarbejder sit lovgivningsforslag om fælles bindende cybersikkerhedsregler for alle EU's institutioner, organer og agenturer.
15 Revisionen dækkede den seneste udvikling og initiativer på cybersikkerhedsområdet fra januar 2018 (da den interinstitutionelle aftale om CERT-EU blev indgået) til oktober 2021.
16 Vi begrænsede revisionens omfang til cyberrobusthed og ikkeklassificerede systemer. Vi fokuserede på beredskabsaspekter (aktiviteter forbundet med "identificering, beskyttelse og opdagelse"). "Håndtering" og "genopretning" lå uden for revisionens omfang. Vi undersøgte dog en række organisatoriske elementer vedrørende håndteringen af hændelser. Herudover lå aspekter vedrørende databeskyttelse, retshåndhævelse, cyberforsvar og cyberdiplomati uden for revisionens omfang (jf. figur 2).
17 Vores revisionsresultater er baseret på en omfattende analyse af tilgængelig dokumentation suppleret med interviews. Vi gennemførte en selvevalueringsspørgeundersøgelse med deltagelse af 65 EU-institutioner, -organer og -agenturer med henblik på at indsamle oplysninger om deres cybersikkerhedsordninger og deres holdninger til interinstitutionelt samarbejde. Vi sendte spørgeundersøgelsen til alle de EU-institutioner, -organer og -agenturer, som er omfattet af Revisionsrettens revisionsrettigheder og forvalter deres egen IT-infrastruktur, samt vores egen institution. Der er tale om institutioner, decentrale agenturer, fællesforetagender og organer. Vi sendte også spørgeundersøgelsen til de civile missioner, som er midlertidige autonome enheder, der finansieres over EU-budgettet, og som er uafhængige ud fra et IT-perspektiv. Bilag I indeholder en fuldstændig liste over de institutioner, organer og agenturer, der deltog i spørgeundersøgelsen. Den Europæiske Ombudsmand og Den Europæiske Tilsynsførende for Databeskyttelse var ikke omfattet af denne revision.
18 Spørgeundersøgelsen havde en svarprocent på 100 og fungerede som udgangspunkt for yderligere analyse. Derudover udtog vi en stikprøve på syv EU-institutioner, -organer og -agenturer, som er repræsentative for institutionernes, organernes og agenturernes heterogenitet, og fulgte op på deres svar med interviews og anmodninger om dokumentation. De udvælgelseskriterier, vi tog i betragtning, omfattede retsgrundlag, størrelse (målt på antal ansatte og budget) og sektor. Stikprøven af EU-institutioner, -organer og -agenturer bestod af Europa-Kommissionen, Europa-Parlamentet, EU's Agentur for Cybersikkerhed (ENISA), Den Europæiske Banktilsynsmyndighed (EBA), Det Europæiske Agentur for Søfartssikkerhed (EMSA), Den Europæiske Unions rådgivende mission i Ukraine (EUAM Ukraine) og fællesforetagendet for initiativet om innovative lægemidler (IMI JU).
19 Vi afholdt også videomøder med CERT-EU, EU-agenturnetværkets rådgivende IKT-udvalg (ICTAC), det interinstitutionelle udvalg for digital omstilling (ICDT) og andre relevante interessenter.
Bemærkninger
EU's institutioner, organer og agenturer har meget forskellige modenhedsniveauer, når det gælder cybersikkerhed, og efterlever ikke altid god praksis
20 I dette afsnit gennemgås EU-institutionernes, -organernes og -agenturernes individuelle ordninger og rammer for cybersikkerhed. Vi vurderede, om de har en konsekvent og hensigtsmæssig tilgang til cybersikkerhed hvad angår forvaltning af IT-sikkerhed, risikostyring, ressourceallokering, bevidstgørelseskurser, kontroller og uafhængig sikkerhedskontrol.
Forvaltningen af IT-sikkerhed i EU's institutioner, organer og agenturer er i mange tilfælde ikke tilstrækkeligt udviklet, og risikovurderingerne er ikke dækkende
I mange af EU's institutioner, organer og agenturer er der mangler i forvaltningen af IT-sikkerhed
21 I en effektiv ramme for sikkerheden i informations- og IT-systemer er det afgørende med et grundlag for god forvaltning, som fastlægger organisationens mål og udstikker en retning gennem prioritering og beslutningstagning. Ifølge ISACA (Information Systems Audit and Control Association)16 bør en ramme for forvaltning af IT-sikkerhed generelt omfatte flere elementer:
- en omfattende sikkerhedsstrategi, der er uløseligt forbundet med forretningsmålene
- forvaltningsmæssige sikkerhedspolitikker, der vedrører de enkelte aspekter af strategien, kontrollerne og reguleringen
- en komplet række standarder for hver enkelt politik med en beskrivelse af de operationelle skridt, der er nødvendige for at overholde politikken
- institutionaliserede overvågningsprocesser for at sikre overholdelse og give feedback om effektiviteten
- en effektiv organisationsstruktur uden interessekonflikter.
22 Vi konstaterede, at der i mange EU-institutioner, -organer og -agenturer er mangler i forvaltningen af IT-sikkerhed. Kun 58 % af EU's institutioner, organer og agenturer (38 ud af 65) har en IT-sikkerhedsstrategi eller i det mindste en IT-sikkerhedsplan, der er godkendt af bestyrelsen/den øverste ledelse. En fordeling efter type af EU-institution, -organ og -agentur viser, at de civile missioner og de decentrale agenturer (som tilsammen udgør 71 % af de EU-institutioner, -organer og -agenturer, der deltog i spørgeundersøgelsen) befinder sig blandt dem med den laveste procentdel (jf. tabel 1). Hvis der ikke findes en IT-sikkerhedsstrategi eller IT-sikkerhedsplan, som er godkendt på det øverste ledelsesniveau, er der risiko for, at den øverste ledelse ikke er bekendt med eller ikke i tilstrækkelig grad prioriterer IT-sikkerhedsmæssige spørgsmål.
Tabel 1 - Procentdel af EU's institutioner, organer og agenturer, der har en IT-sikkerhedsstrategi eller -plan, der er godkendt af den øverste ledelse
Fordeling efter antal ansatte
< 100 ansatte
(22 EU-institutioner, -organer og -agenturer) |
100 til 249 ansatte
(17 EU-institutioner, -organer og -agenturer) |
250 til 1 000 ansatte
(16 EU-institutioner, -organer og -agenturer) |
>1 000 ansatte
(10 EU-institutioner, -organer og -agenturer) |
---|---|---|---|
45 % | 53 % | 69 % | 80 % |
Fordeling efter type af EU-institution, -organ og -agentur
Decentrale agenturer
(35 EU-institutioner, -organer og -agenturer) |
Civile missioner
(11 EU-institutioner, -organer og -agenturer) |
Organer
(4 EU-institutioner, -organer og -agenturer) |
Institutioner
(6 EU-institutioner, -organer og -agenturer) |
Fælles-foretagender
(9 EU-institutioner, -organer og -agenturer) |
---|---|---|---|---|
45 % | 56 % | 75 % | 83 % | 89 % |
Kilde: Revisionsrettens spørgeundersøgelse.
23 Vi undersøgte de IT-sikkerhedsstrategier/-planer, der blev fremlagt af de syv EU-institutioner, -organer og -agenturer i stikprøven (jf. punkt 18). Vi konstaterede, at deres strategier hang rimeligt godt sammen med deres forretningsmål. For eksempel dækker Kommissionens IT-sikkerhedsstrategi IT-sikkerhedsdimensionen i dens digitale strategi17 og er udformet med henblik på at understøtte dens køreplan og målsætninger. Det var imidlertid kun tre af EU-institutionerne, -organerne og -agenturerne i vores stikprøve, der havde medtaget konkrete mål i deres IT-sikkerhedsstrategier/-planer og givet en tidsramme for opfyldelsen af disse mål.
24 De regler og procedurer, som skal følges af de enkeltpersoner, der anvender eller forvalter informations- og IT-ressourcer, fastsættes i sikkerhedspolitikker. Disse politikker bidrager til at begrænse cybersikkerhedsrisici og angiver, hvad der skal gøres i tilfælde af hændelser. Vi konstaterede, at 78 % af EU's institutioner, organer og agenturer har en formel informationssikkerhedspolitik, mens kun 60 % har formelle IT-sikkerhedspolitikker (jf. figur 1 for definitionerne af informations- og IT-sikkerhed). Vi konstaterede også, at fire af de syv EU-institutioner, -organer og -agenturer i vores stikprøve har sikkerhedspolitikker, der er i overensstemmelse med deres IT-sikkerhedsstrategier. I tre af disse fire politikker suppleres IT-sikkerhedspolitikkerne imidlertid kun delvis af ajourførte detaljerede sikkerhedsstandarder, der beskriver de operationelle skridt, der er nødvendige for at gennemføre politikkerne. Manglen på formelle sikkerhedsstandarder øger risikoen for, at IT-sikkerhedsmæssige spørgsmål ikke håndteres korrekt og konsekvent inden for samme EU-institution, -organ eller -agentur. Det gør det desuden vanskeligere at måle organisationens overholdelse af sin IT-sikkerhedspolitik. Af de syv EU-institutioner, -organer og -agenturer i stikprøven havde kun Kommissionen strukturerede procedurer for overvågning af overholdelsen af sine IT-sikkerhedspolitikker og -standarder, omend de kun anvendes af et begrænset antal generaldirektorater (GD'er) (jf. tekstboks 1).
Overholdelse af IT-sikkerheden i Kommissionen
I overensstemmelse med Kommissionens decentraliserede IT-forvaltning er lederen af hvert generaldirektorat ejer af den tjenestegren, der er ansvarlig for, at generaldirektoratets systemer opfylder IT-sikkerhedsstandarderne. Generaldirektoratet for Informationsteknologi (GD DIGIT) og Generaldirektoratet for Menneskelige Ressourcer og Sikkerhed (GD HR) overvåger og fremmer gennemførelsen af praksis for forvaltning af overholdelse. GD DIGIT har udviklet et værktøj (såkaldt "GRC"), som giver GD'er mulighed for at måle og indberette deres overholdelse af IT-sikkerhedspolitikkontroller.
De 580 kontroller er opdelt i tre grupper: generelle kontroller (hovedsageligt vedrørende forvaltning), GD-specifikke kontroller og systemspecifikke kontroller. Værktøjet er operationelt, men indtil videre er det kun fem GD'er, der bruger det. GD DIGIT har derfor ikke overblik over overholdelsen i Kommissionen som helhed. Kommissionens Råd for Informationsteknologi og Cybersikkerhed kan imidlertid anmode GD DIGIT om at undersøge overholdelsen af en specifik standard (for eksempel flerfaktorgodkendelse i 2021) og kan afgive ikkebindende udtalelser og henstillinger eller, for så vidt angår kritiske risici, også stille formelle krav.
25 Et andet vigtigt element i god forvaltning af cybersikkerhed er udnævnelsen af en chef for informationssikkerhed. Selv om det ikke udtrykkeligt kræves i henhold til ISO 27000-familien af standarder18, er det at have en chef for informationssikkerhed eller en tilsvarende rolle blevet en udbredt praksis i organisationer og indgår i ISACA's retningslinjer. Chefen for informationssikkerhed har typisk det overordnede ansvar for en organisations informations- og IT-sikkerhedsprogrammer. For at undgå interessekonflikter bør chefen for informationssikkerhed have en vis grad af uafhængighed af IT-funktionen/-afdelingen19.
26 Ifølge vores spørgeundersøgelse har 60 % af EU's institutioner, organer og agenturer ikke udpeget en uafhængig chef for informationssikkerhed eller en person i en tilsvarende rolle. Selv når der udpeges chefer for informationssikkerhed (eller tilsvarende), er karakteren af deres roller meget forskellige - og deres funktioner forstås forskelligt - i de enkelte EU-institutioner, -organer og -agenturer. Navnlig i de små og mellemstore EU-institutioner, -organer og -agenturer har cheferne for informationssikkerhed ofte mere operationelle roller og er ikke funktionelt uafhængige af IT-afdelingen. Det kan begrænse disse chefers autonomi med hensyn til at gennemføre deres sikkerhedsprioriteter. ENISA arbejder i øjeblikket på en EU-ramme for færdigheder inden for cybersikkerhed, der blandt andet har til formål at skabe en fælles forståelse af roller, kompetencer og færdigheder.
EU-institutionernes, -organernes og -agenturernes IT-sikkerhedsrisikovurderinger dækker i de fleste tilfælde ikke hele deres IT-miljø
27 Alle internationale standarder for IT-sikkerhed understreger betydningen af at fastlægge en passende metode til vurdering og håndtering af sikkerhedsrisici, der påvirker IT-systemer og de data, systemerne indeholder. Der bør jævnligt foretages risikovurderinger for at vurdere ændringer i en organisations krav til informationssikkerhed og de risici, organisationen er udsat for20. Vurderingerne bør efterfølges af en plan for risikobegrænsende foranstaltninger (eller en IT-sikkerhedsplan).
28 De fleste (58 ud af 65) af de EU-institutioner, -organer og -agenturer, der deltog i spørgeundersøgelsen, angav, at de følger en ramme eller en metode til at foretage risikovurderinger af deres IT-systemer. Der er imidlertid ikke nogen fælles metodologi for alle EU-institutionerne, -organerne og -agenturerne. Mindst 26 af EU's institutioner, organer og agenturer gør fuld eller delvis brug af de metoder, som Kommissionen har udviklet. Navnlig anvender 31 % af EU's institutioner, organer og agenturer metodologien for IT-sikkerhedsrisikostyring fra 2018 (ITSRM2). De andre følger metoder, der er baseret på velkendte industristandarder (for eksempel ISO27001, ISO27005, cybersikkerhedsrammen under National Institute of Standards and Technology eller kontroller i henhold til Center for Internet Security), eller anvender andre interne metoder.
29 Af de syv EU-institutioner, -organer og -agenturer i stikprøven udfører kun to omfattende risikovurderinger, der dækker hele deres IT-miljø (dvs. alle deres IT-systemer). De fleste udfører kun individuelle risikovurderinger af deres vigtigste IT-systemer. Vi fandt flere eksempler på, at der var blevet gennemført risikovurderinger, inden der blev indført nye systemer. Vi fandt imidlertid ikke dokumentation for opfølgende risikovurderinger, der eksempelvis var knyttet til efterfølgende ændringer af deres systemer/infrastruktur.
EU's institutioner, organer og agenturer har ikke en ensartet tilgang til cybersikkerhed, og der foretages ikke altid væsentlige kontroller
Fordelingen af ressourcer til cybersikkerhed er meget forskellig blandt EU's institutioner, organer og agenturer
30 I vores spørgeundersøgelse bad vi EU's institutioner, organer og agenturer om at angive deres samlede IT-udgifter i 2020 samt et skøn over det beløb, der bruges på cybersikkerhed. Vores data viser væsentlige forskelle i den procentdel af IT-udgifterne, som de enkelte EU-institutioner, -organer og -agenturer afsætter til cybersikkerhed. Det gælder også EU-institutioner, -organer og -agenturer af samme størrelse målt på antal ansatte. Som det fremgår af figur 3, er der en tendens til særligt store forskelle mellem EU-institutioner, -organer og -agenturer med et mindre antal ansatte.
31 Det er vanskeligt at vurdere, hvad der er et optimalt niveau for udgifter til cybersikkerhed i absolutte tal. Det afhænger af mange faktorer, såsom organisationens angrebsflade, følsomheden af de data, den håndterer, dens risikoprofil og -villighed samt sektorspecifikke retlige forpligtelser og reguleringsmæssige krav. Vores data peger imidlertid på, at forskellene er betydelige, og årsagerne hertil er ikke altid indlysende. Nogle EU-institutioner, -organer og -agenturer bruger betydeligt færre midler på cybersikkerhed end andre af samme størrelse, hvilket kan tyde på utilstrækkelige udgifter, hvis de er udsat for de samme trusler og risici.
32 De fleste af EU's institutioner, organer og agenturer er små til mellemstore målt på både antal ansatte og IT-udgifter, idet to tredjedele af institutionerne, organerne og agenturerne har under 350 ansatte. Det mindste agentur har kun 15 ansatte. Forvaltningen af cybersikkerhed er mere udfordrende og ressourcekrævende for mindre EU-institutioner, -organer og -agenturer. I de fleste tilfælde kan de ikke udnytte stordriftsfordele, og de har ikke tilstrækkelig intern ekspertise. Ifølge vores spørgeundersøgelse og interviews har de største institutioner, for eksempel Kommissionen og Europa-Parlamentet, hele hold af eksperter, der forvalter cybersikkerhed på fuld tid. I de mindste EU-institutioner, -organer og -agenturer, hvor antallet af ansatte samt ressourcer er særligt begrænsede, er der imidlertid slet ingen eksperter, og cybersikkerhed forvaltes på deltid af ansatte med en IT-baggrund. Da EU's institutioner, organer og agenturer er tæt forbundne, udgør dette en forhøjet risiko (jf. også punkt 10).
33 I vores spørgeundersøgelse bad vi EU-institutionerne, -organerne og -agenturerne angive, hvad der er de største udfordringer i forbindelse med gennemførelsen af effektive cybersikkerhedspolitikker i deres organisationer (jf. figur 4). Den største udfordring er, at eksperter i cybersikkerhed er en knap ressource, og mange EU-institutioner, -organer og -agenturer har svært ved at tiltrække dem på grund af konkurrence fra både den private sektor og andre EU-institutioner, -organer og -agenturer. Langvarige ansættelsesprocedurer, ikkekonkurrencedygtige kontraktbetingelser og mangel på attraktive karrieremuligheder er tilbagevendende problemer. Manglen på specialiserede ansatte udgør en væsentlig risiko for effektiv håndtering af cybersikkerhed.
De fleste EU-institutioner, -organer og -agenturer tilbyder en form for bevidstgørelseskurser om cybersikkerhed, men ikke på et systematisk eller målrettet grundlag
34 Udnyttelse af sårbarheder i systemer og enheder er ikke den eneste måde, hvorpå potentielle angribere kan forårsage skade. De kan også få brugere til at afgive følsomme oplysninger eller downloade skadelig software, for eksempel gennem phishing eller social engineering. I enhver organisation indgår organisationens ansatte i den første forsvarslinje. Derfor er bevidstgørelses- og uddannelsesprogrammer vedrørende cybersikkerhed et centralt element i en effektiv ramme for cybersikkerhed.
35 Langt størstedelen af de EU-institutioner, -organer og -agenturer, der deltog i spørgeundersøgelsen (95 %), tilbyder alle ansatte en form for generelle cyberbevidstgørelseskurser, men tre gør det ikke. Kun 41 % af EU's institutioner, organer og agenturer arrangerer konkrete uddannelses- eller bevidstgørelsesforløb for ledere, og kun 29 % tilbyder obligatorisk uddannelse i cybersikkerhed for ledere med ansvar for IT-systemer, der indeholder følsomme oplysninger. Ledelsens bevidsthed om og engagement i cybersikkerhed er afgørende for den effektive forvaltning af cybersikkerhed. Ud af de 11 EU-institutioner, -organer og -agenturer, hvor mangel på støtte fra ledelsen blev nævnt som et problem i forhold til effektiv cybersikkerhed, tilbød kun tre deres ledere en form for bevidstgørelseskurser. 58 % af EU's institutioner, organer og agenturer tilbyder sine IT-medarbejdere løbende uddannelse i cybersikkerhed, mens 51 % af dem tilbyder sine IT-sikkerhedsspecialister en sådan uddannelse.
36 Ikke alle EU-institutioner, -organer og -agenturer har mekanismer til at holde øje med, om de ansatte deltager i uddannelsesforløb inden for cybersikkerhed og efterfølgende er mere bevidste om og opmærksomme på cybersikkerhed. Navnlig i mindre organisationer ses det, at der tilbydes cyberbevidstgørelsesforløb i forbindelse med uformelle personalemøder. Den vigtigste måde, hvorpå organisationer måler medarbejdernes bevidsthedsniveau, er ved jævnlig testning af deres adfærd, for eksempel gennem undersøgelser af modenhedsniveau eller phishingøvelser. I de seneste fem år har 55 % af EU's institutioner, organer og agenturer gennemført én eller flere simulerede phishingkampagner (eller lignende øvelser). Da phishing er en af de største trusler, som ansatte i offentlige forvaltninger står over for21, er disse øvelser et vigtigt redskab til at uddanne ansatte og skabe bevidsthed. Vi konstaterede, at Kommissionens cyberbevidsthedstiltag er god praksis, og at de er tilgængelige for andre interesserede EU-institutioner, -organer og -agenturer (jf. tekstboks 2).
Cyberbevidstgørelseskurser i Kommissionen
Kommissionen har et særligt "Cyber Aware"-team i GD DIGIT, som leder institutionens program for bevidstgørelse om cybersikkerhed. Programmet ledes og forvaltes i fællesskab med GD HR, Generalsekretariatet, Generaldirektoratet for Kommunikationsnet, Indhold og Teknologi (GD CNECT) og CERT-EU. Kurserne er af høj kvalitet og har i mange tilfælde en interinstitutionel rækkevidde. Kursusforløb annonceres via Learning Bulletin, som når ud til omkring 65 000 EU-ansatte. Gennem platformen "Cyber Aware" har Kommissionen afholdt 15 phishingøvelser i de seneste fem år og har for nylig gennemført den første øvelse for hele Kommissionen.
Der gennemføres ikke altid væsentlige kontroller, eller også er de ikke formaliseret i standarder
37 Vi bad EU's institutioner, organer og agenturer om selv at vurdere deres gennemførelse af et udvalg af væsentlige kontroller22. Vi udvalgte en række eksempler på bedste praksis, som selv mindre organisationer med rimelighed kan gennemføre23. Figur 5 viser en oversigt over resultaterne. De fleste af de EU-institutioner, -organer og -agenturer, der deltog i spørgeundersøgelsen, har indført de udvalgte væsentlige kontroller. For nogle områders vedkommende ser kontrollerne imidlertid ud til at være mangelfulde eller begrænsede i mindst 20 % af EU-institutionerne, -organerne og -agenturerne.
38 Vi anmodede de syv EU-institutioner, -organer og -agenturer i stikprøven om dokumentation og tilhørende standarder/politikker for hver af de kontroller, som de havde angivet som værende gennemført. Vi indhentede disse dokumenter for 62 % af kontrollerne. Som præciseret under interviewene var der i flere tilfælde indført tekniske kontroller, som imidlertid ikke var blevet formaliseret i - ajourførte - standarder eller politikker, hvilket øger risikoen for, at IT-sikkerhedsmæssige problemer ikke håndteres konsekvent inden for samme EU-institution, -organ eller -agentur (jf. også punkt 24).
Adskillige EU-institutioner, -organer og -agenturer får ikke regelmæssigt foretaget uafhængig kontrol af deres cybersikkerhedsordninger
39 Ifølge ISACA24 er intern revision en af de tre vigtigste forsvarslinjer i en organisation, mens de to andre er ledelse og risikostyring. Interne revisioner bidrager til at forbedre forvaltningen af informations- og IT-sikkerhed. Vi undersøgte, hvor ofte EU's institutioner, organer og agenturer får foretaget uafhængig kontrol af deres IT-sikkerhedsramme gennem interne eller eksterne revisioner og gennem proaktiv testning af deres cyberforsvar.
40 Kommissionens Interne Revisionstjeneste er blandt andet ansvarlig for at udføre IT-revisioner af Kommissionen og af decentrale agenturer, fællesforetagender og EU-Udenrigstjenesten. Tjenestens mandat dækker 46 (70 %) af de 65 EU-institutioner, -organer og -agenturer, vi undersøgte, og den har udført IT-sikkerhedsrevisioner i seks forskellige EU-institutioner, -organer og -agenturer i de seneste fem år. Desuden har GD HR kompetence til at udføre IT-sikkerhedsinspektioner, der omfatter aspekter vedrørende teknisk informationssikkerhed25. Af de resterende EU-institutioner, -organer og -agenturer angav syv, at de har deres egen interne revisionsfunktion, der dækker IT-aspekter, men for 12 EU-institutioners, -organers og -agenturers vedkommende var svarene på vores spørgeundersøgelse ikke tilstrækkeligt fyldestgørende til at afgøre, om de har en sådan intern revisionskapacitet.
41 Eksterne IT-sikkerhedsrevisioner udført af uafhængige enheder er en anden måde at sikre uafhængig kontrol på. Trods det hastigt skiftende cybertrusselsbillede har 34 % af EU's institutioner, organer og agenturer i perioden fra begyndelsen af 2015 til første kvartal 2021 ikke været underkastet en intern eller ekstern IT-sikkerhedsrevision. En fordeling af førnævnte procentdel efter type af EU-institution, -organ og -agentur viser, at 75 % af EU-organerne, 66 % af fællesforetagenderne og 45 % af de civile missioner ikke har været genstand for en intern eller ekstern IT-sikkerhedsrevision siden 2015.
42 Ud over interne og eksterne revisioner er en anden måde, hvorpå organisationer kan opnå sikkerhed for deres IT-sikkerhedsramme, proaktivt at teste deres cyberforsvar for at identificere sårbarheder. Indtrængningstest (også kaldet etisk hacking), der består af godkendte simulerede cyberangreb på individuelle computersystemer, er en måde at gøre dette på. Som svar på vores spørgeundersøgelse angav 69 % af EU's institutioner, organer og agenturer, at de havde udført mindst én indtrængningstest inden for de seneste fem år. I 45 % af tilfældene var CERT-EU den enhed, der udførte indtrængningstestene.
43 "Red team"-øvelser er en anden måde at teste cyberforsvar på gennem simulerede angreb ved hjælp af teknikker, der på det seneste er blevet anvendt i forbindelse med angreb i den virkelige verden. De er mere komplekse og omfattende end indtrængningstest, idet de omfatter flere systemer og flere potentielle angrebsveje. EU's institutioner, organer og agenturer udfører relativt sjældent sådanne test: 46 % af EU's institutioner, organer og agenturer angav, at de havde medvirket i mindst én red team-øvelse inden for de seneste fem år. CERT-EU gennemførte 75 % af disse øvelser. Det kræver en stor indsats at udvikle og gennemføre red team-øvelser, og CERT-EU har i øjeblikket kun kapacitet til at gennemføre fem til seks øvelser om året.
44 Bortset fra to nyligt oprettede EU-institutioner, -organer og -agenturer havde 16 (25 %) af de undersøgte institutioner, organer og agenturer ikke gennemført nogen indtrængningstest eller red team-øvelser i de seneste fem år. Samlet set har syv EU-institutioner, -organer og -agenturer (10 %) - nemlig ét fællesforetagende, ét decentralt agentur og fem civile missioner - ikke fået foretaget nogen form for uafhængig kontrol af deres IT-sikkerhedsordninger.
EU's institutioner, organer og agenturer har etableret samarbejdsmekanismer, men der er mangler forbundet med dem
45 Dette afsnit omhandler de aktører og udvalg, der er udpeget og nedsat for at fremme samarbejdet mellem EU's institutioner, organer og agenturer inden for cybersikkerhed, samt de interinstitutionelle forvaltnings- og koordineringsordninger. Mere specifikt undersøgte vi to interinstitutionelle aktører - ENISA og CERT-EU - og to interinstitutionelle udvalg - det interinstitutionelle udvalg for digital omstilling (ICDT), navnlig dets undergruppe vedrørende cybersikkerhed (CSSG), og det rådgivende udvalg for informations- og kommunikationsteknologi (ICTAC). Vi vurderede også, i hvilket omfang disse har skabt synergier med henblik på at øge EU-institutionernes, -organernes og -agenturernes cybersikkerhedsberedskab.
Der er en formaliseret struktur for koordineringen af aktiviteter i EU's institutioner, organer og agenturer, omend med en række problemer af forvaltningsmæssig karakter
46 ICDT og ICTAC er de to vigtigste udvalg, der fremmer samarbejdet om IT blandt EU's institutioner, organer og agenturer. ICDT er sammensat af IT-cheferne i EU's institutioner og organer og er et forum for fremme af informationsudveksling og samarbejde. Det har en undergruppe vedrørende cybersikkerhed (CSSG), der rapporterer til ICDT og kan anbefale, at der træffes beslutninger om konkrete spørgsmål. ICTAC er derimod en undergruppe under EU-agenturernes netværk (EUAN), et uformelt netværk, der er oprettet af lederne af EU-agenturerne, og som fokuserer på samarbejde mellem agenturer og fællesforetagender. Både ICDT og ICTAC har klart definerede, komplementære roller: ICTAC dækker decentrale agenturer og fællesforetagender, mens ICDT dækker institutioner og organer. ICDT og ICTAC er ifølge deres natur forholdsvis uformelle rådgivende grupper og fora for udveksling af oplysninger og bedste praksis. Yderligere oplysninger om disse interinstitutionelle udvalg findes i bilag II.
Repræsentationen af EU's institutioner, organer og agenturer i de relevante fora er ikke altid tilstrækkelig
47 Selv om strukturerne for repræsentation er klare, er det ikke alle EU-institutioner, -organer og -agenturer, der anser deres faktiske repræsentation for tilstrækkelig. 42 % af EU-institutionerne, -organerne og -agenturerne var uenige i følgende udsagn i vores spørgeundersøgelse: "Der tages i tilstrækkelig grad hensyn til mine behov i de relevante interinstitutionelle fora, og min institution/mit organ/agentur er i tilstrækkelig grad repræsenteret i bestyrelser og beslutningstagende råd/udvalg". Nogle af de mindste mente, at de ikke havde tilstrækkelige ressourcer til at deltage aktivt i interinstitutionelle fora.
48 CERT-EU's styringsråd, som er enhedens vigtigste beslutningstagende organ, er heller ikke repræsentativt for dets deltagere som helhed. CERT-EU leverer tjenester til 87 EU-institutioner, -organer og -agenturer og 3 udenforstående organisationer. Enhedens styringsråd omfatter imidlertid kun repræsentanterne for de 11 underskrivere af den interinstitutionelle aftale (de syv EU-institutioner plus EU-Udenrigstjenesten, Det Økonomiske og Sociale Udvalg, Regionsudvalget og Den Europæiske Investeringsbank) og én repræsentant for ENISA, hvor hver især har én stemme26.
49 Mere end halvdelen af CERT-EU's deltagere er decentrale EU-agenturer og fællesforetagender, som tilsammen har omkring 12 000 ansatte. Formelt repræsenteres deres interesser i CERT-EU's styringsråd af ENISA. ENISA's mandat til at repræsentere EU-agenturer og fællesforetagender er imidlertid svagt, da ENISA ikke er direkte udnævnt eller valgt af disse. I praksis udtrykkes de decentrale agenturers og fællesforetagendernes synspunkter på styringsrådets møder af en repræsentant for ICTAC, som har tilladelse til at deltage for at bistå ENISA i dets rolle som repræsentant for agenturerne. Til trods for at ICTAC's repræsentant repræsenterer 48 EU-institutioners, -organers og -agenturers synspunkter og interesser, har vedkommende i øjeblikket ingen formel plads eller stemme i styringsrådet. I april 2021 sendte ICTAC en formel anmodning om stemmeret i CERT-EU's styringsråd til dets formand. I skrivende stund er denne anmodning endnu ikke blevet efterkommet. Der gives en oversigt over EU-institutionernes, -organernes og -agenturernes repræsentation i bestyrelser og beslutningstagende råd/udvalg i figur 6.
50 EU-institutionernes, -organernes og -agenturernes interinstitutionelle forvaltning af cybersikkerhed er fragmenteret, og ingen enkelt enhed har i øjeblikket et samlet overblik over institutionernes, organernes og agenturernes modenhedsniveau, når det gælder cybersikkerhed, eller deres beføjelse til at indtage en ledende rolle eller håndhæve fælles bindende regler. ENISA og CERT-EU kan begge kun "støtte" og "bistå" EU's institutioner, organer og agenturer. De relevante udvalg har ingen beslutningsbeføjelser og kan kun fremsætte henstillinger til EU-institutionerne, -organerne og -agenturerne. For en femtedel af de EU-institutioner, -organer og -agenturer, der deltog i vores spørgeundersøgelse, er det desuden ikke klart, hvor man skal henvende sig, når det gælder en bestemt tjeneste/løsning eller et bestemt værktøj.
Der findes aftalememoranda blandt de centrale aktører, men indtil videre har de ikke givet konkrete resultater
51 I maj 2018 blev der underskrevet et aftalememorandum mellem ENISA, CERT-EU, Europols Europæiske Center til Bekæmpelse af IT-Kriminalitet (EC3) og Det Europæiske Forsvarsagentur (EDA). Det fokuserede på fem samarbejdsområder: informationsudveksling, uddannelse, cyberøvelser, teknisk samarbejde, strategiske og administrative spørgsmål. Dette aftalememorandum kan bidrage til at undgå dobbeltarbejde, idet det indeholder et fælles arbejdsprogram, men vi har ikke set dokumentation for, at det har resulteret i konkrete resultater og fælles tiltag.
52 I henhold til forordningen om cybersikkerhed, som trådte i kraft i juni 2019, skulle der indgås en ny og specifik samarbejdsaftale mellem CERT-EU og ENISA. Det skal bemærkes, at der gik over halvandet år, før aftalememorandummet blev underskrevet i februar 2021. Aftalememorandummet er et forsøg på at etablere et struktureret samarbejde mellem CERT-EU og ENISA. Det fastlægger deres samarbejdsområder (kapacitetsopbygning, operationelt samarbejde samt viden og information) og en overordnet fordeling af roller mellem dem: CERT-EU vil stå i front med hensyn til at bistå EU's institutioner, organer og agenturer, mens ENISA bidrager til indsatsen. Aftalememorandummet fastlægger ikke de praktiske foranstaltninger, da de er specificeret i en årlig samarbejdsplan. Den første årlige samarbejdsplan (for 2021) blev vedtaget af ENISA's bestyrelse i juli 2021 og af CERT-EU's styringsråd i september 2021. Det er derfor for tidligt i vores revision at vurdere, om denne plan har givet konkrete resultater.
53 Da de to aftalememoranda nævnt i punkt 51 og 52 har fælles mål og samarbejdsområder, f.eks. uddannelse, øvelser og udveksling af oplysninger, er der risiko for overlap og redundans.
Potentielle synergier gennem samarbejde udnyttes endnu ikke fuldt ud
Der er taget positive skridt til at opnå synergier
54 ICTAC- og CSSG-udvalgenes arbejdsprogrammer udpeger relevante temaer, hvor der kan opnås produktivitetsgevinster gennem samarbejde. Praktiske eksempler på initiativer, der har gjort det muligt for EU-institutionerne, -organerne og -agenturerne at drage fordel af synergier, omfatter:
- interinstitutionelle rammekontrakter
- et fælles katastrofeberedskabscenter, som siden 2019 har været forvaltet af Den Europæiske Unions Kontor for Intellektuel Ejendomsret (EUIPO) for de decentrale agenturer, og som giver mulighed for en omkostningsbesparelse på mindst 20 % i forhold til markedspriser (ni agenturer har indført denne katastrofeberedskabsløsning)
- aftaler mellem seks fællesforetagender i samme bygning om at dele fælles infrastruktur og en fælles IT-sikkerhedsramme (siden 2014).
55 Et andet vigtigt eksempel er GovSEC, et system, der hjælper EU's institutioner, organer og agenturer med at foretage risikovurderinger i forbindelse med indførelse af cloudløsninger. Ifølge vores spørgeundersøgelse anvender 75 % af EU's institutioner, organer og agenturer allerede en række offentlige cloudplatforme, og flere af dem, der ikke gør, har planer om at migrere til clouden. Kommissionen har siden 2019 fulgt en "cloud-first"-tilgang og planlægger at tilbyde en sikker hybrid multicloudtjeneste27. Kommissionen fungerer også som cloudmægler for alle EU's institutioner, organer og agenturer i forbindelse med "Cloud II"-rammeaftalen. Styring af sikkerheds- og databeskyttelsesrisici på cloudplatforme kræver nye færdigheder og en anden tilgang end den traditionelle lokale IT-infrastruktur. Effektiv styring af informationssikkerhedsrisici i clouden er en fælles udfordring for EU's institutioner, organer og agenturer, og GovSEC er et eksempel på en løsning, der kan imødekomme behovene hos adskillige, hvis ikke alle, EU-institutioner, -organer og -agenturer.
Samarbejdet og udvekslingen af praksis mellem EU's institutioner, organer og agenturer foregår stadig ikke på optimal vis
56 Eksistensen af interinstitutionelle udvalg medfører ikke automatisk synergier, og EU's institutioner, organer og agenturer udveksler ikke altid bedste praksis, ekspertise, metoder og erfaringer. Hertil kommer, at det er op til hver enkelt EU-institution og hvert enkelt EU-organ og -agentur at afgøre, i hvor høj grad den/det vil deltage i CSSG's arbejde. Medlemmerne af CSSG kan, selv om de deltager i møderne, kun bidrage i det omfang, deres almindelige opgaver i EU-institutionen, -organet eller -agenturet tillader det, og dette har allerede bremset gennemførelsen af de foranstaltninger, som en række taskforcer har truffet beslutning om.
57 Vi konstaterede, at der på en række konkrete områder ikke findes ordninger for EU's institutioner, organer og agenturer til udveksling af erfaringer og initiativer. For eksempel kan EU's institutioner, organer og agenturer i henhold til rammeaftalen om netforsvarskapacitet anmode om en undersøgelse med henblik på at konsolidere kravene til cybersikkerhed og finde løsninger. Der findes imidlertid ikke noget register over andre EU-institutioners, -organers og -agenturers gennemførelse af eller anmodninger om sådanne undersøgelser, og det kan derfor forekomme, at EU's institutioner, organer og agenturer anmoder om den samme undersøgelse flere gange. Desuden oplyser EU's institutioner, organer og agenturer ikke systematisk hinanden om, at de har kontraktlige forbindelser med bestemte udbydere, eller at de anvender en bestemt softwareløsning. Denne videnskløft kan medføre yderligere omkostninger og manglende synergier.
58 EU's institutioner, organer og agenturer udveksler heller ikke systematisk oplysninger med hinanden om de projekter vedrørende cybersikkerhed, som de gennemfører, selv om de kan have en interinstitutionel virkning. CSSG's mandat omfatter en bestemmelse om, at EU's institutioner, organer og agenturer skal udveksle oplysninger om nye projekter, der potentielt kan påvirke cybersikkerheden i andre EU-institutioner, -organer og -agenturer og/eller beskyttelsen af oplysninger, der hidrører fra dem. CSSG holdes imidlertid ikke underrettet om sådanne projekter.
59 Når der oprettes et nyt agentur, skal det opbygge sin IT-infrastruktur og IT-sikkerhedsramme fra bunden. Der findes hverken et "servicekatalog", en værktøjskasse eller klare retningslinjer for eller krav til nye agenturer. Resultatet er betydelige forskelle i IT-miljøer i EU's institutioner, organer og agenturer, hvor alle organisationer potentielt frit kan indkøbe egen software, hardware og infrastruktur og egne tjenester uafhængigt af hinanden. Det samme gør sig gældende for IT-sikkerhedsrammen i mangel af fælles krav og standarder. Denne situation fører til potentielt dobbeltarbejde og ineffektiv anvendelse af EU-midler, men også til øget kompleksitet for CERT-EU med hensyn til den støtte, enheden skal yde.
Der er praktiske mangler i udvekslingen af følsomme oplysninger
60 Nogle EU-institutioner, -organer og -agenturer har stadig ikke hensigtsmæssige løsninger til udveksling af følsomme ikkeklassificerede oplysninger. Dem, der har, har generelt indført egne forskellige produkter og systemer, hvilket betyder, at interoperabilitet er et problem. Fælles sikre platforme findes kun til specifikke formål såsom de platforme, som CERT-EU tilbyder alle deltagere til udveksling af følsomme oplysninger om hændelser, trusler og sårbarheder.
61 Mere end 20 % af EU's institutioner, organer og agenturer har ikke en e‑mailtjeneste med kryptering. De, der har, har ofte problemer med interoperabilitet, og der er ingen gensidig anerkendelse af certifikater. ICTAC og ICDT har i flere år drøftet muligheder for en skalerbar og interoperabel løsning, og i 2018 blev der gennemført et pilotprojekt. Problemet er imidlertid endnu ikke løst.
62 Et andet problem er manglen på fælles mærkning af følsomme ikkeklassificerede oplysninger. Mærkning er en kategorisering, der oplyser indehavere af oplysninger om de specifikke beskyttelseskrav for disse oplysninger. Mærkning er forskellig blandt EU's institutioner, organer og agenturer, og det komplicerer udveksling og korrekt håndtering af oplysninger.
63 I 2020 tvang covid-19-pandemien EU's institutioner, organer og agenturer til i stort omfang at indføre kommunikations- og videokonferenceværktøjer for at sikre forretningskontinuitet. Vi identificerede mindst 15 forskellige softwareløsninger til afholdelse af videokonferencer blandt EU's institutioner, organer og agenturer. Selv når forskellige EU-institutioner, -organer og -agenturer anvender den samme løsning/platform, mangler der stadig ofte interoperabilitet. Desuden er der forskel på retningslinjerne for, hvilke oplysninger (med hensyn til følsomhed) der kan udveksles eller drøftes på en given platform mellem EU's institutioner, organer og agenturer. Sådanne forhold medfører økonomisk og operationel ineffektivitet og kan potentielt skabe sikkerhedsproblemer.
ENISA og CERT-EU har endnu ikke givet EU's institutioner, organer og agenturer al den støtte, de har brug for
64 I dette afsnit undersøger vi de to vigtigste enheder, der har til opgave at støtte EU's institutioner, organer og agenturer på området for cybersikkerhed: ENISA og CERT-EU. Vi vurderer, om støtten fra disse to enheder er nået ud til EU's institutioner, organer og agenturer og imødekommer deres behov, og peger på årsagerne til de konstaterede mangler.
ENISA er en central aktør på cybersikkerhedsområdet i EU, men agenturets støtte er hidtil kun nået ud til meget få EU-institutioner, -organer og -agenturer
65 Med ikrafttrædelsen i juni 2019 af forordningen om cybersikkerhed28 - som erstattede ENISA's tidligere retsgrundlag29 - fik ENISA et stærkere mandat. Konkret fastsættes det i forordningen, at ENISA aktivt bør støtte både medlemsstaterne og EU's institutioner, organer og agenturer i at forbedre cybersikkerheden gennem kapacitetsopbygning, styrkelse af det operationelle samarbejde og etablering af synergier. Hvad angår kapacitetsopbygning har ENISA nu mandat til at bistå EU's institutioner, organer og agenturer "i deres bestræbelser på at forbedre forebyggelse, opdagelse og analyse af cybertrusler og -hændelser, navnlig gennem relevant støtte til CERT-EU"30. ENISA skal også bistå EU's institutioner med at udvikle og revidere EU's strategier for cybersikkerhed, fremme deres udbredelse og følge udviklingen med hensyn til at gennemføre dem.
66 Det fremgår klart af forordningen om cybersikkerhed, at ENISA skal støtte EU's institutioner, organer og agenturer i at forbedre deres cybersikkerhed, men ENISA har endnu ikke udarbejdet nogen handlingsplaner for så vidt angår dets mål om at bistå disse institutioner, organer og agenturer med kapacitetsopbygning (jf. tekstboks 3 for nærmere oplysninger).
Utilstrækkelig overensstemmelse mellem ENISA's mål og output i relation til EU's institutioner, organer og agenturer
Nogle af ENISA's treårige prioriteter i det flerårige arbejdsprogram for 2018-2020 under mål 3.2 (om bistand med EU-institutionernes kapacitetsopbygning) indebærer bl.a., at ENISA skal:
- tilbyde EU-institutionerne proaktiv rådgivning om styrkelse af deres net- og informationssikkerhed (NIS) (identificere prioriteterne for de EU-agenturer og -organer, der har størst behov for NIS-kapacitetsopbygning, gennem regelmæssig interaktion med dem (for eksempel i årlige workshopper) og fokusere på disse prioriteter)
- søge at bistå EU-institutionerne og lette deres arbejde i forbindelse med tilgange til NIS (skabe partnerskaber med CERT-EU og institutioner med stærke NIS-kapaciteter med henblik på at støtte sine tiltag under dette mål).
I ENISA's arbejdsprogrammer for 2018, 2019 og 2020 er der kun to operationelle mål (output) under mål 3.2. Disse vedrører:
- deltagelse i CERT-EU's styringsråd og repræsentation af de EU-agenturer, der anvender CERT-EU-tjenesten
- samarbejde med relevante EU-organer om initiativer, der dækker NIS-dimensionen, og som vedrører deres missioner (herunder EASA, CERT-EU, EDA, EC3).
De operationelle mål omfatter ingen aktiviteter med relation til proaktiv rådgivning. Desuden blev målet om at identificere prioriteterne for de agenturer, der har de største behov, ikke omsat til operationelle output, da det blev erstattet af målet om at samarbejde med agenturerne med henblik på at repræsentere deres behov i CERT-EU's styringsråd.
67 ENISA's vigtigste beslutningsorgan er dets bestyrelse. De 27 medlemsstater udpeger hver ét medlem, og to medlemmer udpeges af Kommissionen31 (jf. figur 6). Hvert medlem har én stemme, og beslutninger træffes med almindeligt flertal32. Det betyder, at foranstaltninger, der vedrører medlemsstater, kan have højere prioritet end foranstaltninger, der vedrører EU's institutioner, organer og agenturer. I ENISA's arbejdsprogram for 2018 besluttede bestyrelsen eksempelvis, på grund af utilstrækkelige ressourcer, at prioritere visse aktiviteter og fjerne tre, hvoraf den ene vedrørte støtte til vurdering af eksisterende politikker/procedurer/praksis vedrørende net- og informationssikkerhed i EU-institutionerne. Formålet med denne aktivitet var at give ENISA mulighed for at opbygge et overblik over EU-institutionernes, -organernes og -agenturernes praksis og vejledende modenhedsniveau med hensyn til cybersikkerhed, som grundlag for fremtidige målrettede tiltag.
68 ENISA's ambition om at yde proaktiv bistand til EU's institutioner, organer og agenturer, som udtrykt i dets strategiske mål, er således ikke udmøntet i operationelle mål eller konkrete tiltag. Støtte til kapacitetsopbygning og operationelt samarbejde har indtil videre været begrænset til en række specifikke EU-institutioner, -organer og -agenturer, efter anmodning.
69 Forordningen om cybersikkerhed fastsætter endvidere, at ENISA for at bistå EU's institutioner, organer og agenturer med kapacitetsopbygning skal yde relevant støtte til CERT-EU. Frem til tidspunktet for denne revision begrænsede denne støtte sig til nogle få konkrete tiltag. I 2019 gennemførte ENISA eksempelvis en peerevaluering af CERT-EU som led i enhedens medlemskab af EU's CSIRT-netværk (oprettet ved NIS-direktivet).
70 Ifølge svarene i vores spørgeundersøgelse offentliggør ENISA rapporter og retningslinjer af høj kvalitet om cybersikkerhed, og EU's institutioner, organer og agenturer anvender nogle af dem. Der findes imidlertid ingen retningslinjer specifikt rettet mod EU's institutioner, organer og agenturer og deres eget miljø og deres egne behov. EU's institutioner, organer og agenturer, navnlig dem, der ikke er så højt udviklede inden for cybersikkerhed, har brug for praktisk vejledning ikke blot om, hvad de skal gøre, men også om, hvordan de skal gøre det. Hidtil har ENISA og CERT-EU kun ydet en sådan støtte i begrænset omfang og på usystematisk vis.
71 ENISA har afholdt en række uddannelseskurser om cybersikkerhed, som primært var rettet mod medlemsstaternes myndigheder, men i hvilke et begrænset antal deltagere fra EU's institutioner, organer og agenturer også deltog. ENISA har kun afholdt to selvlæringskurser specifikt rettet mod EU-institutioner, -organer og -agenturer. ENISA tilbyder desuden online uddannelsesmateriale på sit websted, som EU's institutioner, organer og agenturer kan få adgang til, men hidtil har der primært været tale om uddannelsesforløb for de tekniske eksperter i CSIRT, og de har som sådan ikke været til gavn for hovedparten af EU's institutioner, organer og agenturer.
72 Ud over uddannelse kan ENISA støtte EU's institutioner, organer og agenturer gennem cybersikkerhedsøvelser. I oktober 2020 hjalp ENISA i samarbejde med CERT-EU med at gennemføre en øvelse i cybersikkerhed for ICTAC. Det er den eneste øvelse, ENISA har afholdt specifikt for deltagere fra EU's institutioner, organer og agenturer. Derudover har ENISA efter anmodning fra en række EU-institutioner, -organer og -agenturer (bl.a. eu-LISA, EMSA, Europa-Parlamentet og Europol) hjulpet med at afholde en række øvelser, hovedsageligt henvendt til deres interessenter hos medlemsstaternes myndigheder, men også med deltagelse af nogle af de ansatte i EU's institutioner, organer og agenturer.
73 Forordningen om cybersikkerhed gav desuden ENISA som ny opgave at yde EU's institutioner, organer og agenturer bistand vedrørende deres politikker for offentliggørelse af sårbarheder, på frivillig basis. ENISA har imidlertid stadig intet overblik over de enkelte EU-institutioners, -organers og -agenturers politikker for offentliggørelse af sårbarheder og bistår dem ikke i at etablere og gennemføre disse.
CERT-EU er højt værdsat af enhedens deltagere, men dens midler står ikke mål med de aktuelle udfordringer vedrørende cybersikkerhed
74 Efter en række initiativer (jf. figur 7) oprettede Kommissionen ved en afgørelse i september 201233 IT-Beredskabsenheden for EU's Institutioner, Organer og Agenturer (CERT-EU) som en permanent taskforce for EU's institutioner, organer og agenturer (jf. punkt 08).
75 CERT-EU er uafhængig i sine aktiviteter, men enheden forbliver en taskforce, der ikke har status som juridisk person. Enheden er administrativt placeret i Europa-Kommissionen (GD DIGIT), fra hvilken den også modtager logistisk og administrativ støtte. CERT-EU's mål er at gøre EU-institutionernes, -organernes og -agenturernes IKT-infrastruktur mere sikker ved at øge deres kapacitet til at håndtere cybertrusler og -sårbarheder og forebygge, opdage og håndtere cyberangreb. CERT-EU har ca. 40 ansatte, der er organiseret i hold af specialister, der fokuserer på eksempelvis efterretninger om cybertrusler, digital kriminalteknik og håndtering af hændelser.
CERT-EU er en værdsat partner med en stigende arbejdsbyrde
76 CERT-EU anmoder om feedback og forslag fra sine deltagere gennem kvartalsvise workshopper og årlige bilaterale møder og tilfredshedsundersøgelser. Ifølge tilfredshedsundersøgelserne og vores egen spørgeundersøgelse er deltagerne stort set tilfredse med CERT-EU's tjenester. Udviklingen af CERT-EU's tjenestekatalog bekræfter enhedens bestræbelser på at tilpasse sig EU-institutionernes, -organernes og -agenturernes behov.
77 Store EU-institutioner, -organer og -agenturer med betydelig intern kapacitet har tendens til primært at anvende CERT-EU som knudepunkt for informationsudveksling og kilde til trusselsefterretninger, mens mindre EU-institutioner, -organer og -agenturer gør brug af CERT-EU's bredere vifte af tjenester, som for eksempel overvågning af logfiler, indtrængningstest, red team-øvelser og støtte til håndtering af hændelser. CERT-EU's tjenester er særligt værdifulde for mindre EU-institutioner, -organer og -agenturer på grund af disses begrænsede interne ekspertise og manglende stordriftsfordele (jf. punkt 31 og 33).
78 CERT-EU har styrket sine ressourcer og procedurer i de senere år på baggrund af en kraftig stigning i antallet af trusler og hændelser. Antallet af CERT-EU-informationsprodukter, navnlig trusselsvarsler og -notater, er vokset støt (figur 8). I 2020 udsendte CERT-EU 171 trusselsnotater og 53 trusselsvarsler (langt flere end de oprindeligt forventede 80 notater og 40 varsler).
79 CERT-EU støtter også EU's institutioner, organer og agenturer i håndteringen af cyberhændelser. 52 % af EU's institutioner, organer og agenturer har et internt beredskabshold eller i det mindste en indsatskoordinator, mens de øvrige 48 % trækker på CERT-EU og/eller andre eksterne udbydere i tilfælde af en hændelse. Dog kan selv store EU-institutioner, -organer og -agenturer med intern beredskabskapacitet anmode om støtte fra CERT-EU til håndtering af komplekse hændelser.
80 Det samlede antal hændelser, der blev håndteret af CERT-EU, steg fra 561 i 2019 til 884 i 2020. Navnlig er antallet af væsentlige hændelser steget fra kun 1 i 2018 til 13 i 2020. I 2021 nåede antallet af væsentlige hændelser op på 17 mod de 13 i 2020, som dengang var en rekord. Disse væsentlige hændelser skyldes generelt meget avancerede trusler. De kan påvirke flere EU-institutioner, -organer og -agenturer og indebære kontakt med myndigheder, og det kræver normalt uger til måneders arbejde for de berørte parter og CERT-EU at efterforske og eliminere truslerne.
81 CERT-EU er også den vigtigste leverandør af proaktive vurderinger og test af EU-institutionernes, -organernes og -agenturernes cyberforsvar. En oversigt over CERT-EU's aktiviteter på dette område gives nedenfor i figur 9. Siden 2020 har CERT-EU desuden udført scanninger af eksterne netværk.
Deltagerne deler ikke relevante oplysninger rettidigt med CERT-EU
82 I henhold til den interinstitutionelle aftale34 skal deltagerne underrette CERT-EU om væsentlige cybersikkerhedshændelser. I praksis er dette imidlertid ikke altid sket. Den interinstitutionelle aftale indeholder ingen mekanisme til at håndhæve CERT-EU-deltagernes obligatoriske og rettidige indberetning af "væsentlige" hændelser. Den generiske definition af "væsentlige hændelser" i den interinstitutionelle aftale overlader det til EU-institutionernes, -organernes og -agenturernes skøn, om de vil indberette en hændelse. Ifølge CERT-EU's ledelse har nogle deltagere ikke rettidigt delt oplysninger om væsentlige hændelser, hvilket hæmmer CERT-EU's rolle som knudepunkt for udveksling af cybersikkerhedsoplysninger og koordinering af håndteringen af hændelser for alle EU-institutioner, -organer og -agenturer. For eksempel underrettede en deltager, der blev udsat for en meget avanceret trussel, ikke CERT-EU og bad heller ikke CERT-EU om støtte. Dette forhindrede CERT-EU i at indsamle trusselsefterretninger, som ville have været nyttige i forbindelse med enhedens støtte til andre deltagere, der var berørt af samme trussel. Mindst seks EU-institutioner, -organer og -agenturer var berørt af dette angreb.
83 Deltagerne har heller ikke aktivt og rettidigt delt oplysninger med CERT-EU om de cybersikkerhedstrusler og -sårbarheder, de er blevet berørt af, selv om de ifølge den interinstitutionelle aftale er forpligtet hertil35. CERT-EU's hold for digital kriminalteknik og håndtering af hændelser har kun modtaget indberetninger om sårbarheder eller mangler i forbindelse med hændelser, som holdet undersøgte aktivt, og ikke i andre sammenhænge, fx i forbindelse med kontroller. Deltagerne deler ikke proaktivt relevante resultater af interne eller eksterne sikkerhedsrevisioner.
84 Desuden gør den interinstitutionelle aftale det ikke obligatorisk for EU's institutioner, organer og agenturer at indberette væsentlige ændringer i deres IT-miljø til CERT-EU, og som følge heraf har deltagerne ikke systematisk informeret CERT-EU om relevante ændringer. For eksempel informerer EU's institutioner, organer og agenturer ikke altid CERT-EU om ændringer i deres IP-adressekataloger (dvs. i deres infrastrukturs liste over internetadresser). CERT-EU har behov for ajourførte IP-adressekataloger for eksempelvis at kunne foretage scanninger, når der opdages alvorlige sårbarheder. EU-institutionernes, -organernes og -agenturernes manglende underretning om sådanne ændringer påvirker CERT-EU's mulighed for at støtte dem. Manglende underretning påvirker også CERT-EU's mulighed for at overvåge systemer og medfører merarbejde med at korrigere urigtige data i overvågningsværktøjerne. CERT-EU opdager ifølge ledelsen nogle gange hidtil ukendte IT-infrastrukturer, i forbindelse med at enheden håndterer en hændelse. Desuden har CERT-EU, bortset fra nogle konkrete tilfælde, i øjeblikket ikke et samlet overblik over EU-institutionernes, -organernes og -agenturernes IT-systemer og -netværk.
85 Uden en håndhævelsesmekanisme i den interinstitutionelle aftale vil underretninger fra EU's institutioner, organer og agenturer til CERT-EU - et væsentligt element i at etablere et cybersikkerhedsberedskab hos disse institutioner, organer og agenturer, der er centreret om CERT-EU - forblive usystematiske.
CERT-EU's ressourcer er ustabile og står ikke mål med det aktuelle trusselsniveau
86 I den interinstitutionelle aftale36 anføres det, at "CERT-EU bør tilføres bæredygtig finansiering og personale, mens der samtidig sikres værdi for pengene og en tilstrækkelig kerne af fastansat personale". CERT-EU's vigtigste aktiv er enhedens højtuddannede og specialiserede ansatte. Figur 10 viser ændringen i antal ansatte i CERT-EU fra oprettelsen i 2011 til i dag.
87 Mere end to tredjedele af CERT-EU's ansatte har en midlertidig kontrakt. Deres løn er ikke særlig konkurrencedygtig på markedet for cybersikkerhedseksperter, og ifølge CERT-EU's ledelse er det blevet stadig vanskeligere at tiltrække og fastholde dem. Når lønnen ikke er tilstrækkeligt attraktiv for erfarne ansøgere, er CERT-EU nødsaget til at ansætte mindre erfarne ansøgere og bruge tid på at uddanne dem. Dertil kommer, at kontrakterne har en maksimal varighed på seks år, hvilket betyder, at CERT-EU ikke har andet valg end at lade kontraktansatte forlade deres stilling på et tidspunkt, hvor de har nået det højeste kompetenceniveau. Personaleomsætningen var særligt høj i 2020: 21 % af de ansatte forlod CERT-EU, og det var ikke muligt at genbesætte alle stillinger. I 2019 forlod 9 % af de ansatte CERT-EU, mens det i 2018 var 13 %, der forlod enheden.
88 CERT-EU's ledelse har understreget, at CERT-EU's hold for digital kriminalteknik og håndtering af hændelser i øjeblikket ofte er overbelastet, og at dens øvrige hold ikke kan holde trit med efterspørgslen. Det betyder, at CERT-EU er blevet tvunget til at nedskalere aktiviteterne. For eksempel foretager CERT-EU i øjeblikket ikke, på grund af manglende ressourcer, vurderinger af modenhedsniveauet hos sine deltagere. Desuden blev CERT-EU's tjeneste for advarsler om mistænkelig aktivitet igangsat senere end forventet, igen på grund af ressourcemangel. Flere af de deltagere, vi interviewede, bemærkede det lange tidsrum, de var nødt til at vente for at få adgang til CERT-EU's tjenester.
89 Ressourcemæssige begrænsninger har indtil videre tvunget CERT-EU til navnlig at fokusere på at beskytte konventionel lokal IT-infrastruktur mod alvorlige avancerede vedvarende trusler, der hidrører fra (typisk nationalt støttede) grupper. Men ifølge enhedens ledelse betyder EU-institutionernes, -organernes og -agenturernes udvidede IT-perimeter (der nu også omfatter clouden, mobile enheder og digitale værktøjer til telearbejde), at der er behov for øget overvågning og beskyttelse, ligesom trusler på lavere niveau (for eksempel cyberkriminalitet og ransomware) også kræver større opmærksomhed.
90 Den interinstitutionelle aftale indeholder ikke bestemmelser om, at CERT-EU skal have operationel kapacitet døgnet rundt, alle ugens dage. CERT-EU har i øjeblikket ikke ressourcer eller en passende HR-ramme til at operere ud over normal arbejdstid på et fast og struktureret grundlag, på trods af at cyberangreb ikke holder sig inden for dette tidsrum. Af de 65 EU-institutioner, -organer og -agenturer, der deltog i spørgeundersøgelsen, har kun 35 adgang til en IT-medarbejder uden for normal arbejdstid.
91 For at finansiere CERT-EU's arbejde godkendte styringsrådet i 2012 en model for serviceleveranceaftaler. Alle deltagere modtager centrale tjenester uden beregning og kan betale for udvidede tjenester ved at underskrive en serviceleveranceaftale. CERT-EU's budget for 2020 var på 3 745 000 euro, hvoraf 6 % blev finansieret over EU-budgettet og 94 % fra serviceleveranceaftaler. Deltagerne er imidlertid meget forskelligartede: Nogle har modne IT-sikkerhedskrav, mens andre har beskedne IT-budgetter og et meget lavt modenhedsniveau, når det gælder cybersikkerhed. Drøftelser af serviceleveranceaftaler fører derfor til en kombination af høje sikkerhedskrav for nogle EU-institutioners, -organers og -agenturers vedkommende og en relativt stor mangel på vilje eller evne til at bidrage for andres vedkommende.
92 Desuden skal serviceleveranceaftaler hver især fornys hvert år. Ud over at være en administrativ byrde skaber dette likviditetsproblemer, da CERT-EU ikke får tilført midler på samme tid fra alle serviceleveranceaftaler. Endvidere kan agenturerne når som helst opsige serviceleveranceaftalerne. Dette risikerer at starte en ond cirkel, hvor CERT-EU på grund af indtægtstab er nødt til at nedskalere sine tjenester og ikke kan holde trit med efterspørgslen, hvilket igen får andre EU-institutioner, -organer og -agenturer til at opsige deres serviceleveranceaftaler og skifte til private udbydere. På den baggrund er den nuværende finansieringsmodel ikke ideel til at sikre et stabilt og optimalt serviceniveau.
93 I lyset af et hurtigt skiftende cybertrusselsbillede (jf. punkt 06 og 80) godkendte CERT-EU's styringsråd på sit møde den 19. februar 2020 et strategiforslag, med henblik på at CERT-EU udvider sine cybersikkerhedstjenester og udvikler "fuld operationel kapacitet". Forslaget var ledsaget af en analyse af CERT-EU's personale- og finansieringsbehov. Analysen konkluderede, at CERT-EU har brug for yderligere 14 fastansatte administratorer, som skal ansættes gradvist i perioden 2021-2023. Det betyder, at CERT-EU fra og med 2023 vil være oppe på fuld kapacitet. Ifølge forslaget vil CERT-EU med hensyn til finansiering skulle øge sit budget med 7,6 millioner euro i perioden 2021-2023 for at nå op på 11,3 millioner euro i 2024.
94 Men selv om EU's institutioner, organer og agenturer støtter strategiforslaget om tilførsel af yderligere ressourcer til CERT-EU, er de endnu ikke nået til enighed om de praktiske foranstaltninger herfor, hverken for overgangsperioden 2021-2023 eller på lang sigt, dvs. efter ikrafttrædelsen af den fremtidige forordning om cybersikkerhed (jf. punkt 12).
Konklusioner og anbefalinger
95 Vi konkluderer, at EU's institutioner, organer og agenturer som helhed ikke har opnået et cyberberedskabsniveau, der står mål med truslerne. Vores arbejde viser, at EU's institutioner, organer og agenturer har forskellige modenhedsniveauer, når det gælder cybersikkerhed, og at cybersikkerhedssvagheder i én EU-institution/ét EU-organ/-agentur kan udsætte flere andre organisationer for cybertrusler, eftersom EU-institutionerne, -organerne og -agenturerne ofte er tæt forbundet med hinanden og med offentlige og private organisationer i medlemsstaterne.
96 Vi konstaterede, at der ikke altid blev anvendt gode centrale praksis, herunder visse væsentlige kontroller, på cybersikkerhedsområdet. Solid forvaltning af cybersikkerhed er afgørende for sikkerheden i informations- og IT-systemer, men i nogle EU-institutioner, -organer og -agenturer er en sådan endnu ikke på plads: I mange tilfælde mangler der IT-sikkerhedsstrategier og -planer, eller også er disse ikke godkendt af den øverste ledelse. Desuden er sikkerhedspolitikkerne ikke altid formaliserede, og risikovurderinger dækker ikke hele IT-miljøet. Udgifterne til cybersikkerhed er varierende, og nogle EU-institutioner, -organer og -agenturer bruger tydeligvis for få midler sammenlignet med andre af samme størrelse (jf. punkt 21-33, 37 og 38).
97 Bevidstgørelses- og uddannelsesprogrammer vedrørende cybersikkerhed er et centralt element i en effektiv ramme for cybersikkerhed. Men kun 29 % af EU's institutioner, organer og agenturer tilbyder obligatorisk uddannelse i cybersikkerhed for chefer med ansvar for IT-systemer, der indeholder følsomme oplysninger, og den uddannelse, der tilbydes, er ofte uformel. I de seneste fem år har 55 % af EU's institutioner, organer og agenturer gennemført én eller flere simulerede phishingkampagner (eller lignende øvelser). Disse øvelser er et vigtigt værktøj til uddannelse af ansatte og bevidstgørelse, men ikke alle EU-institutioner, -organer og -agenturer gør systematisk brug af dem (jf. punkt 34-36). Dertil kommer, at ikke alle EU-institutioner, -organer og -agenturer regelmæssigt får foretaget uafhængig kontrol af deres cybersikkerhed (jf. punkt 39-44).
98 CERT-EU er højt værdsat af de EU-institutioner, -organer og -agenturer, som enheden betjener, men dens kapacitet er overbelastet. Enhedens arbejdsbyrde målt på trusselsefterretninger og håndtering af hændelser er vokset hastigt siden 2018. Antallet af væsentlige cybersikkerhedshændelser er mere end tidoblet. Samtidig deler EU's institutioner, organer og agenturer ikke altid i rette tid oplysninger om væsentlige hændelser, sårbarheder og vigtige ændringer i deres IT-infrastruktur. Dette hæmmer CERT-EU's effektivitet og forhindrer enheden i at advare andre EU-institutioner, -organer og -agenturer, der muligvis er ramt, og det kan føre til, at væsentlige hændelser forbliver uopdagede. Derudover er CERT-EU's ressourcer ustabile og står i øjeblikket ikke mål med det aktuelle trusselsniveau og EU-institutionernes, -organernes og -agenturernes behov. Et strategiforslag om tilvejebringelse af de yderligere ressourcer, som CERT-EU har behov for, blev godkendt af styringsrådet i 2020, men deltagerne er endnu ikke nået til enighed om de praktiske foranstaltninger for tilvejebringelsen af disse ressourcer. Det betyder, at CERT-EU's ansatte ikke kan holde trit med efterspørgslen og er tvunget til at nedskalere aktiviteterne (jf. punkt 74-93).
Anbefaling 1 - Forbedre cybersikkerhedsberedskabet i alle EU's institutioner, organer og agenturer gennem fælles bindende regler og øgede ressourcer til CERT-EU
Kommissionen bør medtage følgende principper i sit kommende forslag til en forordning om foranstaltninger til et højt fælles cybersikkerhedsniveau i alle EU's institutioner, organer og agenturer:
- Den øverste ledelse bør have ansvaret for forvaltningen af cybersikkerhed og således godkende cybersikkerhedsstrategier og centrale sikkerhedspolitikker og udpege en uafhængig chef for informationssikkerhed (eller tilsvarende rolle).
- EU's institutioner, organer og agenturer bør have en ramme for IT-sikkerhedsrisikostyring, der dækker hele deres IT-infrastruktur, og foretage regelmæssige risikovurderinger.
- EU's institutioner, organer og agenturer bør systematisk tilbyde alle ansatte, herunder ledere, bevidstgørelseskurser.
- EU's institutioner, organer og agenturer bør sikre, at der regelmæssigt gennemføres revisioner og test af deres cyberforsvar. Revisionerne bør også omfatte en vurdering af tilstrækkeligheden af de ressourcer, der er afsat til cybersikkerhed.
- EU's institutioner, organer og agenturer bør straks underrette CERT-EU om væsentlige cybersikkerhedshændelser og relevante ændringer og sårbarheder i deres IT-infrastruktur.
- EU's institutioner, organer og agenturer bør i deres budgetter øge og øremærke de midler, der afsættes til CERT-EU, i overensstemmelse med behovene i det af CERT-EU-styringsrådet godkendte strategiforslag.
- Forordningen bør indeholde bestemmelser om udpegning af en enhed, der repræsenterer alle EU-institutioner, -organer og -agenturer, og som har behørigt mandat og passende midler til at overvåge alle disse institutioners, organers og agenturers overholdelse af de fælles cybersikkerhedsregler og til at fremsætte retningslinjer, anbefalinger og opfordringer til handling.
Måldato for gennemførelsen: 1. kvartal 2023
99 Selv om EU's institutioner, organer og agenturer har etableret mekanismer for samarbejde om cybersikkerhed, bemærkede vi, at potentielle synergier ikke udnyttes fuldt ud. Der findes en formaliseret struktur for udveksling af oplysninger, hvor aktører og udvalg har komplementære roller. Men mindre EU-institutioners, -organers og -agenturers deltagelse i interinstitutionelle fora hindres af begrænsede ressourcer, og de decentrale agenturers og fællesforetagendernes repræsentation i CERT-EU's styringsråd er ikke optimal. Vi konstaterede også, at EU's institutioner, organer og agenturer ikke systematisk udveksler oplysninger med hinanden om deres cybersikkerhedsrelaterede projekter, deres sikkerhedsvurderinger og deres andre tjenesteydelseskontrakter. Det kan medføre dobbeltarbejde og øgede omkostninger. Vi bemærkede operationelle vanskeligheder i forbindelse med udvekslingen af følsomme ikkeklassificerede oplysninger via krypterede e-mail eller videokonferencer på grund af IT-løsningernes manglende interoperabilitet, inkonsekvente retningslinjer for tilladt brug af disse og mangel på fælles mærkning og fælles regler for håndtering af oplysninger (jf. punkt 45-63).
Anbefaling 2 - Fremme yderligere synergier mellem EU's institutioner, organer og agenturer på udvalgte områder
Kommissionen bør inden for rammerne af det interinstitutionelle udvalg for digital omstilling fremme følgende tiltag blandt EU's institutioner, organer og agenturer:
- indføre løsninger for interoperabilitet mellem sikre kommunikationskanaler fra krypterede e-mail til videokonferenceløsninger og slå til lyd for fælles mærkning og fælles regler for håndtering af følsomme ikkeklassificerede oplysninger
- systematisk udveksle oplysninger om cybersikkerhedsrelaterede projekter med mulige interinstitutionelle virkninger, om sikkerhedsvurderinger af software og om gældende kontrakter med eksterne leverandører
- udarbejde specifikationer for fælles indkøb af og rammekontrakter for cybersikkerhedstjenester, som alle EU-institutioner, -organer og -agenturer kan deltage i, med henblik på at fremme stordriftsfordele.
Måldato for gennemførelsen: 4. kvartal 2023
100 Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) og CERT-EU er de to vigtigste enheder, der har til opgave at støtte EU's institutioner, organer og agenturer på cybersikkerhedsområdet. Ressourcemæssige begrænsninger og prioritering af andre områder betyder imidlertid, at de ikke har været i stand til at yde EU's institutioner, organer og agenturer al den støtte, de har brug for, navnlig vedrørende kapacitetsopbygning i EU-institutioner, -organer og -agenturer, der har et lavere modenhedsniveau, når det gælder cybersikkerhed (jf. punkt 64-93).
Anbefaling 3 - Øge CERT-EU's og ENISA's fokus på EU-institutioner, -organer og -agenturer med et lavere modenhedsniveau
CERT-EU og ENISA bør:
- udpege de prioriterede områder, hvor EU's institutioner, organer og agenturer har størst behov for støtte, f.eks. gennem vurderinger af modenhedsniveau
- gennemføre kapacitetsopbyggende tiltag i overensstemmelse med deres aftalememorandum.
Måldato for gennemførelsen: 4. kvartal 2022
Vedtaget af Afdeling III, der ledes af Bettina Jakobsen, medlem af Revisionsretten, i Luxembourg den 22. februar 2022.
På Revisionsrettens vegne
Klaus-Heiner Lehne
Formand
Bilag
Bilag I - Liste over de EU-institutioner, -organer og -agenturer, der deltog i spørgeundersøgelsen
Navn på EU-institutionen, -organet eller -agenturet | Type |
---|---|
Europa-Parlamentet (Parlamentet) | Institution (art. 13, stk. 1, i TEU) |
Rådet for Den Europæiske Union og Det Europæiske Råd (EU-Rådet og Det Europæiske Råd) | Institution (art. 13, stk. 1, i TEU) |
Europa-Kommissionen (Kommissionen) | Institution (art. 13, stk. 1, i TEU) |
Den Europæiske Unions Domstol (EU-Domstolen) | Institution (art. 13, stk. 1, i TEU) |
Den Europæiske Centralbank (ECB) | Institution (art. 13, stk. 1, i TEU) |
Den Europæiske Revisionsret (Revisionsretten) | Institution (art. 13, stk. 1, i TEU) |
Tjenesten for EU's Optræden Udadtil (EU-Udenrigstjenesten) | Organ (art. 27, stk. 3, i TEU) |
Det Europæiske Økonomiske og Sociale Udvalg (EØSU) og Det Europæiske Regionsudvalg (Regionsudvalget)37 | Organer (art.13, stk. 4, i TEU) |
Den Europæiske Investeringsbank (EIB) | Organ (art. 308 i TEUF) |
Den Europæiske Arbejdsmarkedsmyndighed | Decentralt agentur |
Den Europæiske Unions Agentur for Samarbejde mellem Energireguleringsmyndigheder (ACER) | Decentralt agentur |
Støttekontoret for Sammenslutningen af Europæiske Tilsynsmyndigheder inden for Elektronisk Kommunikation (BEREC-kontoret) | Decentralt agentur |
EF-Sortsmyndigheden (CPVO) | Decentralt agentur |
Det Europæiske Arbejdsmiljøagentur (EU-OSHA) | Decentralt agentur |
Det Europæiske Agentur for Grænse- og Kystbevogtning (Frontex) | Decentralt agentur |
Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) | Decentralt agentur |
Den Europæiske Unions Asylagentur (EUAA) | Decentralt agentur |
Den Europæiske Unions Luftfartssikkerhedsagentur (EASA) | Decentralt agentur |
Den Europæiske Banktilsynsmyndighed (EBA) | Decentralt agentur |
Det Europæiske Center for Forebyggelse af og Kontrol med Sygdomme (ECDC) | Decentralt agentur |
Det Europæiske Center for Udvikling af Erhvervsuddannelse (Cedefop) | Decentralt agentur |
Det Europæiske Kemikalieagentur (ECHA) | Decentralt agentur |
Det Europæiske Miljøagentur (EEA) | Decentralt agentur |
Det Europæiske Fiskerikontrolagentur (EFCA) | Decentralt agentur |
Den Europæiske Fødevaresikkerhedsautoritet (EFSA) | Decentralt agentur |
Det Europæiske Institut til Forbedring af Leve- og Arbejdsvilkårene (Eurofound) | Decentralt agentur |
Den Europæiske Unions Agentur for Rumprogrammet [til afløsning af: Det Europæiske GNSS-Agentur - GSA] (EUSPA) | Decentralt agentur |
Det Europæiske Institut for Ligestilling mellem Mænd og Kvinder (EIGE) | Decentralt agentur |
Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger (EIOPA) | Decentralt agentur |
Det Europæiske Agentur for Søfartssikkerhed (EMSA) | Decentralt agentur |
Det Europæiske Lægemiddelagentur (EMA) | Decentralt agentur |
Det Europæiske Overvågningscenter for Narkotika og Narkotikamisbrug (EMCDDA) | Decentralt agentur |
Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) | Decentralt agentur |
Den Europæiske Unions Agentur for Uddannelse inden for Retshåndhævelse (Cepol) | Decentralt agentur |
Den Europæiske Politienhed (Europol) | Decentralt agentur |
Den Europæiske Unions Jernbaneagentur (ERA) | Decentralt agentur |
Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) | Decentralt agentur |
Det Europæiske Erhvervsuddannelsesinstitut (ETF) | Decentralt agentur |
Den Europæiske Unions Agentur for Grundlæggende Rettigheder (FRA) | Decentralt agentur |
Den Europæiske Unions Kontor for Intellektuel Ejendomsret [benævnt OHIM indtil 23. marts 2016] (EUIPO) | Decentralt agentur |
Den Fælles Afviklingsinstans (SRB) | Decentralt agentur |
Den Europæiske Unions Agentur for Strafferetligt Samarbejde (Eurojust) | Decentralt agentur |
Oversættelsescentret for Den Europæiske Unions Organer (CdT) | Decentralt agentur |
Den Europæiske Anklagemyndighed (EPPO) | Decentralt agentur |
Det Europæiske Institut for Innovation og Teknologi (EIT) | Organ oprettet under F&I |
Fællesforetagendet til forskning i lufttrafikstyring i det fælles europæiske luftrum (SESAR) | Fællesforetagende i henhold til TEUF |
Fællesforetagendet for elektronikkomponenter og -systemer for europæisk lederskab (ECSEL) | Fællesforetagende i henhold til TEUF |
Fællesforetagendet for brændselsceller og brint 2 (BCB2) | Fællesforetagende i henhold til TEUF |
Fællesforetagendet for initiativet om innovative lægemidler 2 (IMI 2) | Fællesforetagende i henhold til TEUF |
Fællesforetagendet Clean Sky 2 (Clean Sky 2) | Fællesforetagende i henhold til TEUF |
Fællesforetagendet for biobaserede industrier (BBI) | Fællesforetagende i henhold til TEUF |
Fællesforetagendet Shift2Rail (S2R) | Fællesforetagende i henhold til TEUF |
Fællesforetagendet for europæisk højtydende databehandling (EuroHPC) | Fællesforetagende i henhold til TEUF |
Det Europæiske Fællesforetagende for ITER og fusionsenergiudvikling (F4E) | Fællesforetagende i henhold til TEUF |
Den Europæiske Unions rådgivende mission i Ukraine (EUAM Ukraine) | Civil mission (FSFP) |
Den Europæiske Unions bistandsmission vedrørende integreret grænseforvaltning i Libyen (EUBAM Libya) | Civil mission (FSFP) |
Den Europæiske Unions kapacitetsopbyggende mission i Niger (EUCAP Sahel Niger) | Civil mission (FSFP) |
Den Europæiske Unions observatørmission i Georgien (EUMM Georgia) | Civil mission (FSFP) |
Den Europæiske Unions politimission i de palæstinensiske områder (EUPOL COPPS) | Civil mission (FSFP) |
Den Europæiske Unions rådgivende FSFP-mission i Den Centralafrikanske Republik (EUAM RCA) | Civil mission (FSFP) |
Den Europæiske Unions rådgivende mission i Irak (EUAM Iraq) | Civil mission (FSFP) |
Den Europæiske Unions grænsebistandsmission ved grænseovergangen i Rafah (EUBAM Rafah) | Civil mission (FSFP) |
Den Europæiske Unions kapacitetsopbyggende mission i Mali (EUCAP Sahel Mali) | Civil mission (FSFP) |
Den Europæiske Unions kapacitetsopbyggende mission i Somalia (EUCAP Somalia) | Civil mission (FSFP) |
Den Europæiske Unions retsstatsmission i Kosovo (EULEX Kosovo) | Civil mission (FSFP) |
Bilag II - Yderligere oplysninger om de vigtigste interinstitutionelle udvalg
Det interinstitutionelle udvalg for digital omstilling (ICDT)
ICDT er et forum for udveksling af oplysninger og fremme af samarbejde på IT-området. Udvalget blev oprettet i maj 2020 og afløser det tidligere udvalg, Comité Interinstitutionnel de l'Informatique. ICDT er sammensat af cheferne for IT-afdelingerne i EU's institutioner, organer og agenturer. ICDT har en undergruppe vedrørende cybersikkerhed (CSSG), hvis rolle er at fremme cybersikkerhedssamarbejdet mellem EU's institutioner, organer og agenturer og fungere som et forum for udveksling af oplysninger.
ICDT's beslutningsbeføjelser er begrænset til spørgsmål, der ikke påvirker den måde, hvorpå institutionerne udfører deres opgaver, og som ikke påvirker forvaltningen i de enkelte institutioner. Ved afgørelser, der rækker ud over ICDT's ansvarsområde, kan udvalget fremsætte henstillinger til kollegiet af generalsekretærer for EU's institutioner og organer.
I henhold til ICDT's mandat er medlemmerne repræsentanter for de enkelte EU-institutioner og organer, mens ét medlem er en repræsentant udpeget af EU's agenturer (ICTAC). Generalsekretariatet for Rådet har i øjeblikket forsædet for ICDT.
ICDT's undergruppe vedrørende cybersikkerhed (CSSG)
CSSG blev i sin nuværende sammensætning oprettet i september 2020 og afløser det tidligere udvalgs (Comité Interinstitutionnel de l'Informatiques) stående undergruppe vedrørende sikkerhed. Sammenlignet med sin forgænger har CSSG en mere struktureret, ambitiøs og resultatorienteret tilgang. Dens aktiviteter udføres af taskforcer (TF'er), der mødes regelmæssigt for at sætte fokus på vigtige fælles emneområder:
- TF1 - fælles standarder, benchmarking og modenhed
- TF2 - deling af platformsmetoder, værktøjer og kontrakter
- TF3 - cloudsikkerhed
- TF4 - talentudvikling inden for cyberfærdigheder
- TF5 - cyberbevidsthed
- TF6 - sikkerhed i forbindelse med videokonferencer
I henhold til CSSG's mandat er dens sekretariat ansvarligt for regelmæssigt at overvåge og rapportere om fremskridt inden for taskforcernes aktiviteter. Sekretariatet rapporterer regelmæssigt til formanden og næstformanden for CSSG efter at have indhentet oplysninger fra taskforcernes koordinatorer. Ved udgangen af hvert år skal CSSG også forelægge en sammenfattende aktivitetsrapport.
I øjeblikket er Kommissionen formand for CSSG, mens en repræsentant for ICTAC er næstformand. Selv om CSSG ikke har beslutningsbeføjelser, kan den anbefale ICDT at træffe beslutninger om relevante spørgsmål.
Agenturernes netværk
EU-agenturernes netværk (EUAN) er et uformelt netværk, der blev oprettet af lederne af EU-agenturerne i 2012. Netværket omfatter i øjeblikket 48 decentrale EU-agenturer og fællesforetagender. Formålet med netværket er at skabe en platform for udveksling og samarbejde for netværkets medlemmer på områder af fælles interesse. Det rådgivende IKT-udvalg (ICTAC) er en undergruppe i netværket med ansvar for at fremme samarbejde på IKT-området, herunder cybersikkerhed.
Det rådgivende udvalg for informations- og kommunikationsteknologi (ICTAC)
ICTAC fremmer samarbejdet mellem agenturerne og fællesforetagenderne på IKT-området. Det har til formål at finde bæredygtige og økonomiske løsninger på fælles problemer, udveksle oplysninger og vedtage fælles holdninger, hvor det er relevant. Ifølge ICTAC's mandat afholdes der generalforsamlinger, hvor alle udvalgets medlemmer mødes, to gange om året. Der afholdes også regelmæssige månedlige møder mellem ICTAC's repræsentanter i CSSG's taskforcer, ICTAC's repræsentant i CSSG og ICTAC's "trojka". Trojkaen er sammensat af ICTAC's nuværende, foregående og kommende formand (hver formand sidder i en periode på et år). Trojkaens rolle er at støtte den nuværende formand i alle spørgsmål vedrørende dennes rolle. Det gælder også formandens stedfortræder, hvis omstændighederne kræver det.
Akronymer og forkortelser
CERT-EU: IT-Beredskabsenheden for EU's Institutioner, Organer og Agenturer
CSIRT: Enhed, der håndterer IT-sikkerhedshændelser
CSSG: Undergruppen vedrørende cybersikkerhed i det interinstitutionelle udvalg for digital omstilling
ENISA: Den Europæiske Unions Agentur for Cybersikkerhed
EUAN: EU-agenturnes netværk
eu-LISA: Det Europæiske Agentur for den Operationelle Forvaltning af Store IT-systemer inden for Området Frihed, Sikkerhed og Retfærdighed
GD DIGIT: Generaldirektoratet for Informationsteknologi
GD HR: Generaldirektoratet for Menneskelige Ressourcer og Sikkerhed
ICDT: Det interinstitutionelle udvalg for digital omstilling
ICTAC: Det rådgivende udvalg for informations- og kommunikationsteknologi
IKT: Informations- og kommunikationsteknologi
ISACA: Information Systems Audit and Control Association
NIS: Net- og informationssikkerhed
Glossar
Avanceret vedvarende trussel: Angreb, hvor en uautoriseret bruger skaffer sig adgang til et system eller netværk med henblik på at stjæle følsomme oplysninger og forbliver der i et længere tidsrum.
Cybersikkerhed: Foranstaltninger til at beskytte IT-netværk og -infrastrukturer og de oplysninger, disse netværk og infrastrukturer indeholder, mod udefrakommende trusler.
Cyberspace: Det globale onlinemiljø, hvor mennesker, software og tjenester kommunikerer gennem netværk af computere og andre forbundne enheder.
Cyberspionage: En handling eller praksis, der består i at indhente hemmeligheder og oplysninger fra internettet, netværk eller individuelle computere uden tilladelse fra indehaveren af oplysningerne og uden dennes vidende.
Indtrængningstest: Metode til vurdering af sikkerheden i et IT-system ved at forsøge at trænge igennem dets sikkerhedsforanstaltninger ved hjælp af de værktøjer og teknikker, der typisk anvendes af personer med onde hensigter.
IT-Beredskabsenheden for EU's Institutioner, Organer og Agenturer: Knudepunkt for koordinering af informationsudveksling og håndtering af hændelser, hvis kunder ("deltagere") er EU's institutioner, organer og agenturer.
Phishing: Fremsendelse af e-mail, der foregiver at stamme fra en pålidelig kilde, for at narre modtagerne til at åbne ondsindede links eller dele personoplysninger.
Red team-øvelse: Realistisk simulering af cyberangreb, hvor der gøres brug af overraskelsesmomenter og teknikker, der nyligt er observeret i den virkelige verden, og hvor der fokuseres på specifikke mål gennem flere angrebslinjer.
Social engineering: Inden for informationssikkerhed forstås ved dette begreb psykologisk manipulation, der har til formål at narre personer til at udføre en bestemt handling eller dele fortrolige oplysninger.
Kommissionens svar
CERT-EU's og ENISA's svar
Slutnoter
3 Revisionsrettens analyse nr. 02/2019: Udfordringer for en effektiv cybersikkerhedspolitik i EU (Briefingpapir).
4 CERT-EU, Threat Landscape Report, juni 2021.
5 Ibid.
6 Ibid.
7 Ibid.
8 "Cyberattack on EMA - update 6", 25.1.2021.
9 Revisionsrettens særberetning nr. 22/2020: EU-agenturernes fremtid - Potentiale for mere fleksibilitet og samarbejde, punkt 01.
11 ENISA, "Threat Landscape 2020", sektor-/temaspecifik trusselsanalyse.
12 Direktiv (EU) 2016/1148 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen.
13 Forslag til direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.
16 ISACA, Certified Information System Auditor - Review Manual, 2019.
17 Meddelelse til Kommissionen, "European Commission digital strategy: A digitally transformed, user-focused and data-driven Commission", C(2018) 7118 final, 21.11.2018.
18 ISO/IEC-standard 27000:2018, kapitel 5.
19 "COBIT 5 for Information Security", afsnit 4.2.
20 Jf. for eksempel ISO/IEC 27000:2018, afsnit 4.5.
21 "ENISA Threat Landscape 2020", sektor-/temaspecifik trusselsanalyse.
22 En række kontroller, der hidrører fra CIS Controls 7.1, som er en ramme for bedste praksis, der forvaltes Centre for Internet Security.
23 Gennemførelsesgruppe 1 i CIS Controls.
24 ISACA, "Auditing Cyber Security: Evaluating Risk and Auditing Controls", 2017.
25 Kommissionens afgørelse 2017/46 om kommunikations- og informationssystemernes sikkerhed i Europa-Kommissionen.
26 Artikel 7 i den interinstitutionelle aftale, underskrevet den 20.12.2017.
27 Europa-Kommissionen, "The European Commission Cloud Strategy", 2019.
28 ENISA's opgaver er anført i kapitel II (artikel 5-12) i forordning (EU) 2019/881.
29 Europa-Parlamentets og Rådets forordning (EU) nr. 526/2013; jf. artikel 3 vedrørende ENISA's opgaver i henhold til denne forordning.
30 Artikel 6 i forordning (EU) 2019/881.
31 Artikel 14 i forordningen om cybersikkerhed.
32 Artikel 18 i forordningen om cybersikkerhed.
33 Europa-Kommissionens pressemeddelelse: "EU-institutionernes IT-sikkerhed styrket efter vellykket pilotprojekt".
34 Artikel 3, stk. 3, i den interinstitutionelle aftale, underskrevet den 20.12.2017.
35 Artikel 3, stk. 2, i den interinstitutionelle aftale.
36 Betragtning 7 i den interinstitutionelle aftale.
37 EØSU og Regionsudvalget tæller som ét EU-organ.
Kontakt
DEN EUROPÆISKE REVISIONSRET
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBOURG
Tlf. +352 4398-1
Kontakt: eca.europa.eu/da/Pages/ContactForm.aspx
Websted: eca.europa.eu
Twitter: @EUAuditors
Yderligere oplysninger om EU fås på internet via Europaserveren (https://europa.eu)
Luxembourg: Den Europæiske Unions Publikationskontor, 2022
ISBN 978-92-847-7590-3 | ISSN ISSN 1977-5636 | doi:10.2865/12435 | QJ-AB-22-003-DA-N | |
HTML | ISBN 978-92-847-7583-5 | ISSN ISSN 1977-5636 | doi:10.2865/65392 | QJ-AB-22-003-DA-Q |
MEDDELELSE OM OPHAVSRET
© Den Europæiske Union, 2022
Den Europæiske Revisionsrets politik for videreanvendelse er fastsat i Revisionsrettens afgørelse nr. 6-2019 om den åbne datapolitik og videreanvendelse af dokumenter.
Medmindre andet er oplyst (f.eks. i individuelle meddelelser om ophavsret), er det af Revisionsrettens indhold, der ejes af EU, licenseret i henhold til Creative Commons Attribution 4.0 International (CC BY 4.0). Det betyder, at videreanvendelse generelt er tilladt med korrekt angivelse af kilde og eventuelle ændringer. Ved videreanvendelse af Revisionsrettens indhold må den oprindelige betydning eller det oprindelige budskab ikke fordrejes. Revisionsretten er ikke ansvarlig for eventuelle konsekvenser af videreanvendelsen.
Yderligere tilladelse skal indhentes, hvis specifikt indhold afbilder identificerbare privatpersoner, f.eks. på billeder af ansatte i Revisionsretten, eller omfatter tredjeparts værker.
Hvis en sådan tilladelse opnås, erstatter denne tilladelse ovenstående generelle tilladelse, og den skal klart anføre eventuelle begrænsninger i anvendelsen.
Tilladelse til at anvende eller gengive indhold, der ikke ejes af EU, skal eventuelt indhentes direkte hos indehaveren af ophavsretten.
Software og dokumenter, der er omfattet af industriel ejendomsret, såsom patenter, varemærker, registrerede design, logoer og navne, er ikke omfattet af Revisionsrettens videreanvendelsespolitik.
EU-institutionernes websteder på europa.eu-domænet har links til websteder uden for europa.eu-domænet. Da Revisionsretten ikke har kontrol over disse websteder, anbefales det at gennemse deres privatlivspolitik og ophavsretspolitik.
Anvendelse af Revisionsrettens logo
Revisionsrettens logo må ikke anvendes uden Revisionsrettens forudgående samtykke.
Sådan kontakter du EU
Personligt
Der findes flere hundrede Europe Direct-informationscentre i hele EU. Find dit nærmeste center på: https://europa.eu/european-union/contact_da
Pr. telefon eller e-mail
Europe Direct er en tjeneste, der besvarer spørgsmål om EU. Kontakt Europe Direct:
- på gratisnummer: 00 800 6 7 8 9 10 11 (visse operatører tager betaling for disse opkald)
- på følgende nummer: +32 22999696 eller
- pr. e-mail: https://europa.eu/european-union/contact_da
Sådan finder du oplysninger om EU
Online
Oplysninger om EU er tilgængelige på alle EU’s officielle sprog på Europawebstedet: https://europa.eu/european-union/index_da
EU-publikationer
Du kan downloade eller bestille EU-publikationer gratis eller mod betaling på: https://op.europa.eu/da/publications.
Du kan bestille flere eksemplarer af de gratis publikationer ved at kontakte Europe Direct eller dit lokale informationscenter (se https://europa.eu/european-union/contact_da).
EU-ret og relaterede dokumenter
Du kan nemt få adgang til EU’s juridiske oplysninger (herunder al EU-ret siden 1951) på alle officielle EU-sprog på EUR-Lex: http://eur-lex.europa.eu
Åbne data fra EU
EU’s portal for åbne data (http://data.europa.eu/da) giver adgang til datasæt fra EU. Dataene kan downloades og genanvendes gratis til både kommercielle og ikkekommercielle formål.