Tuarascáil speisialta
05 2022

Cibearshlándáil institiúidí, chomhlachtaí agus ghníomhaireachtaí an Aontais Eorpaigh: Níl an leibhéal ullmhachta go ginearálta i gcomhréir leis na bagairtí

Maidir leis an tuarascáil:Tá líon na gcibirionsaithe ar institiúidí, comhlachtaí agus gníomhaireachtaí AE (EUIBAnna) ag dul i méid go géar. Ó tharla go bhfuil EUIBAnna idirnasctha go daingean, is féidir le laigí in EUIBA amháin cibearbhagairtí a nochtadh do EUIBA eile. Rinneamar scrúdú féachaint an bhfuil socruithe leordhóthanacha ag EUIBAnna chun iad féin a chosaint in aghaidh cibearbhagairtí. Go ginearálta, fuaireamar amach nach bhfuil an leibhéal ullmhachta i gcomhréir leis na bagairtí agus go bhfuil leibhéil an-éagsúla aibíochta acu ó thaobh cibearshlándála. Molaimid don Choimisiún feabhas a chur ar leibhéal ullmhachta EUIBAnna trí na moltaí seo a leanas: rialacha cibearshlándála ceangailteacha a thabhairt isteach agus acmhainní do CERT-EU a mhéadú. Ba cheart don Choimisiún tuilleadh a dhéanamh chun sineirgí a chur chun cinn i measc EUIBAnna, agus ba cheart do CERT-EU agus ENISA a dtacaíocht a dhíriú ar EUIBAnna nach bhfuil chomh aibí sin.

Tuarascáil Speisialta CIE de bhun Airteagal 287(4), an dara fomhír, CFAE.

Tá an foilseachán seo ar fáil i 24 theanga agus sa leagan seo a leanas:
PDF
PDF Tuarascáil speisialta: Cibearshlándáil institiúidí, chomhlachtaí agus ghníomhaireachtaí an Aontais Eorpaigh

Achoimre Feidhmiúcháin

I In Acht Cibearshlándála an Aontais, sainmhínítear an chibearshlándáil mar "na gníomhaíochtaí go léir is gá chun córais gréasán agus faisnéise, úsáideoirí na gcóras sin, agus daoine eile dá ndéantar difear a chosaint ar chibearbhagairtí”. Mar gheall ar an bhfaisnéis íogair a phróiseálann siad, is spriocanna tarraingteacha iad EUIBAnna d’ionsaitheoirí ionchasacha, go háirithe grúpaí atá in ann ionsaithe rúnda an-sofaisticiúla a dhéanamh chun cibirspiaireachta agus chun críocha eile. Tá EUIBAnna idirnasctha go daingean, in ainneoin a neamhspleáchais institiúideach agus riaracháin. Dá bhrí sin, d’fhéadfadh laigí in EUIBAnna aonair bagairtí slándála a nochtadh do EUIBAnna eile.

II Ó tharla go bhfuil líon na gcibirionsaithe ar EUIBAnna ag dul i méid go géar, ba é cuspóir an iniúchta seo a chinneadh an bhfuil socruithe leordhóthanacha leagtha amach ag EUIBAnna, ina n-iomláine, chun iad féin a chosaint ar chibearbhagairtí. Thángamar ar an gconclúid nach bhfuil leibhéal cibearullmhachta bainte amach ag an bpobal EUIBAnna atá i gcomhréir leis na bagairtí.

III Fuaireamar amach nár cuireadh dea-chleachtais tábhachta cibearshlándála i bhfeidhm i gcónaí, lena n-áirítear roinnt rialuithe riachtanacha, agus is léir go bhfuil tearc-chaiteachas sa chibearshlándáil i gceist le roinnt EUIBAnna. Níl rialachas fónta cibearshlándála i bhfeidhm fós i roinnt EUIBAnna: in a lán cásanna bíonn straitéisí slándála TF in easnamh nó níl an bhainistíocht shinsearach ag tacú leo, ní dhéantar beartais slándála foirmeálta i gcónaí, agus ní chlúdaíonn measúnuithe riosca an timpeallacht TF uile. Ní dhéanann gach EUIBA a gcóras cibearshlándála a chur faoi réir dearbhaithe neamhspleách go rialta.

IV Ní bhíonn oiliúint chibearshlándála córasach i gcónaí. Cuireann díreach os cionn leath na EUIBAnna oiliúint chibearshlándála leanúnach ar fáil don fhoireann TF agus do speisialtóirí slándála TF. Is beag EUIBA a sholáthraíonn oiliúint éigeantach cibearshlándála do bhainisteoirí atá freagrach as córais TF ina bhfuil faisnéis íogair. Is uirlis thábhachtach í cleachtadh fioscaireachta chun oiliúint a chur ar bhaill foirne agus feasacht a mhúscailt, ach ní úsáideann gach EUIBA iad go córasach.

V Cé go bhfuil struchtúir bunaithe ag EUIBAnna maidir le comhar agus malartú faisnéise ar chibearshlándáil, thugamar faoi deara nach mbaintear leas iomlán as sineirgí féideartha. Ní roinneann EUIBAnna go córasach lena chéile faisnéis maidir le tionscadail a bhaineann le cibearshlándáil, measúnuithe slándála agus conarthaí seirbhíse. Ina theannta sin, níl bunuirlisí cumarsáide ar nós ríomhphost criptithe nó réitigh físchomhdhála idir-inoibritheach go hiomlán. D’fhéadfadh malartuithe faisnéise nach bhfuil chomh slán sin a bheith ann dá bharr, chomh maith le dúbailt na n-iarrachtaí agus costais atá méadaithe.

VI Is iad CERT-EU agus ENISA an dá phríomheintiteas a bhfuil sé de dhualgas orthu tacú le EUIBAnna ar chibearshlándáil. Mar sin féin, i ngeall ar shrianta acmhainní nó tosaíocht a bheith á tabhairt do réimsí eile, ní raibh siad in ann an tacaíocht ar fad atá de dhíth orthu a sholáthar do EUIBAnna, go háirithe i ndáil le forbairt acmhainneachta le haghaidh EUIBAnna nach bhfuil chomh aibí sin. Cé gur fiú go mór le CERT-EU EUIBAnna, baintear dá éifeachtacht ag ualach oibre atá ag dul i méid, foireann agus cistiú éagobhsaí, agus comhar neamhdhóthanach ó roinnt EUIBAnna. Ní roinneann na EUIBAnna sin faisnéis thráthúil i gcónaí faoi leochaileachtaí ná teagmhais shuntasacha cibearshlándála a raibh tionchar acu orthu nó a d’fhéadfadh tionchar a bheith acu ar EUIBAnna eile.

VII Bunaithe ar na conclúidí seo, molaimid:

  • don Choimisiún feabhas a chur ar leibhéal ullmhachta EUIBAnna trí thogra reachtach a thugann rialacha ceangailteacha coiteanna ar chibearshlándáil isteach do gach EUIBA agus a mhéadaíonn acmhainní do CERT-EU;
  • don Choimisiún tuilleadh sineirgí a chur chun cinn i measc EUIBAnna i réimsí roghnaithe, i gcomhthéacs an Choiste Idirinstitiúidigh um Chlaochlú Digiteach;
  • do CERT-EU agus ENISA a n-aird a dhíriú ar EUIBAnna nach bhfuil chomh haibí sin ó thaobh na cibearshlándála;

Réamhrá

Céard a thuigtear le cibearshlándáil?

01 In Acht Cibearshlándála an Aontais[1], sainmhínítear an chibearshlándáil mar "na gníomhaíochtaí go léir is gá chun córais gréasán agus faisnéise, úsáideoirí na gcóras sin, agus daoine eile dá ndéantar difear a chosaint ar chibearbhagairtí”. Braitheann cibearshlándáil ar shlándáil faisnéise, a bhaineann le rúndacht, sláine agus infhaighteacht faisnéise a chaomhnú[2], cibé acu i bhfoirm fhisiceach nó leictreonach. Ina theannta sin, is éard atá i gceist le cosaint chórais líonraí agus faisnéise ina bhfuil faisnéis den sórt sin á stóráil ná slándáil teicneolaíochta faisnéise (TF) (Féach Fíor 1).

Fíor 1 – Tá nasc ag an gcibearshlándáil le teicneolaíocht faisnéise agus slándáil TF

Foinse: Cúirt Iniúchóirí na hEorpa.

02 Mar dhisciplín, is éard atá i gceist le cibearshlándáil ná cibirtheagmhais a shainaithint, a chosc agus a bhrath, chomh maith le freagairt dóibh agus teacht aniar uathu. D’fhéadfadh éagsúlacht mhór a bheith sna teagmhais, mar shampla, ó nochtadh faisnéise de thaisme go hionsaithe arb é is aidhm dóibh bonneagar criticiúil a chur i mbaol, agus goid aitheantais agus sonraí pearsanta[3].

03 Tá creat cibearshlándála comhdhéanta de go leor eilimintí, lena n-áirítear ceanglais agus rialuithe teicniúla maidir le slándáil na gcóras gréasáin agus faisnéise, chomh maith le socruithe rialachais iomchuí agus cláir chibirfheasachta don fhoireann.

Cibearshlándáil in institiúidí, comhlachtaí agus gníomhaireachtaí an Aontais Eorpaigh

04 Mar gheall ar an bhfaisnéis íogair a phróiseálann siad, is spriocanna tarraingteacha iad EUIBAnna d’ionsaitheoirí ionchasacha, go háirithe grúpaí atá in ann ionsaithe rúnda an-sofaisticiúla (“ardbhagairtí sheasmhacha”)a dhéanamh chun críocha cibirspiaireachta agus chun críocha eile[4]. D’fhéadfadh impleachtaí polaitiúla suntasacha a bheith ag cibirionsaithe rathúla i gcoinne EUIBAnna agus d’fhéadfaidís dochar a dhéanamh do cháil fhoriomlán an Aontais Eorpaigh agus an bonn a bhaint den mhuinín as a chuid institiúidí.

05 Chuir paindéim COVID-19 iallach ar EUIBAnna, amhail an-chuid eagraíochtaí eile ar fud an domhain, an claochlú digiteach a ghlacadh go tobann agus tabhairt faoin gcianobair. Chuir sé sin méadú suntasach ar líon na bpointí rochtana a d’fhéadfadh a bheith ann d’ionsaitheoirí (nó an “raon inionsaithe”), rud a mhéadaíonn imeall gach eagraíochta go dtí tithe a bhfuil nasc idirlín acu agus gléasanna móibíleacha, inar féidir teacht i dtír ar leochaileachtaí nua. Tá seirbhísí cianrochtana ar cheann de na bealaí is coitianta trína bhfaigheann grúpaí a dhíríonn ar EUIBAnna a bhfuil ardbhagairtí seasmhacha orthu rochtain tosaigh ar a gcuid líonraí[5].

06 Tá líon na gcibirionsaithe ag dul i méid, agus is treocht agus is cúis imní ar leith é an treocht maidir leis an méadú mór atá tagtha ar theagmhais shuntasacha a bhfuil tionchar acu ar EUIBAnna[6], rud a fhágann gur bliain fhíor-eisceachtúil a bhí 2021. Is teagmhais shuntasacha iad teagmhais nach bhfuil atriallach ná bunúsach. Baineann úsáid modhanna agus teicneolaíochtaí nua leo go hiondúil, agus is féidir seachtainí nó fiú míonna a chaitheamh orthu chun iad a fhiosrú agus teacht aniar uathu. Mhéadaigh teagmhais shuntasacha os cionn a dheich n-oiread idir 2018 agus 2021[7]. Tá ar a laghad 22 EUIBA aonair buailte ag teagmhais shuntasacha le dhá bhliain anuas amháin. Sampla amháin a bhí ann le gairid ná an chibirionsaí ar an nGníomhaireacht Leigheasra Eorpach, nuair a rinneadh sonraí íogaire a sceitheadh agus a ionramháil ar chaoi ar bhain an bonn as muinín sna vacsaíní[8].

07 Is grúpa an-ilchineálach iad EUIBAnna, a chuimsíonn institiúidí, gníomhaireachtaí agus roinnt comhlachtaí éagsúla. Is iad na Conarthaí a bhunaíonn seacht n-institiúid an Aontais. Os a choinne sin, bunaítear gníomhaireachtaí díláraithe an Aontais agus comhlachtaí eile le gníomhartha reachtaíochta tánaistí agus is eintitis dhlíthiúla ar leithligh iad gach ceann acu. Tá cineálacha dlíthiúla difriúla ann maidir le gníomhaireachtaí; sé ghníomhaireacht feidhmiúcháin de chuid an Choimisiúin agus 37 ngníomhaireacht dhíláraithe de chuid an Aontais[9]. Áirítear na nithe seo a leanas in EUIBA; oifigí AE, cór taidhleoireachta (an tSeirbhís Eorpach Gníomhaíochta Seachtraí), comhghnóthais agus comhlachtaí eile. Tá gach EUIBA freagrach as a gcuid riachtanas cibearshlándála féin a shainiú agus as a mbearta slándála féin a chur chun feidhme.

08 In 2012, bhunaigh an Coimisiún Foireann Phráinnfhreagartha Ríomhaire na EUIBAnna (CERT-EU) mar thascfhórsa buan chun cibearshlándáil na EUIBAnna a athneartú. Feidhmíonn CERT-EU mar an mol um chomhordú faisnéise cibearshlándála agus freagartha teagmhais do na EUIBAnna, agus comhoibríonn sé le foirne freagartha teagmhas slándála ríomhaire eile (CSIRTanna) i mBallstáit agus i gcuideachtaí speisialaithe slándála TF. Tá eagar agus oibriú CERT-EU rialaithe ag comhaontú idirinstitiúideach ó 2018 faoi láthair (IIA)[10] idir na EUIBAnna ar a bhfuil sé ag freastal. Tugtar “comhchomhlachtaí” freisin ar na EUIBAnna sin sa chomhaontú. Tá 87 gcomhchomhlachtaí ann faoi láthair.

09 Príomhghníomhaí eile a thacaíonn le EUIBAnna is ea Gníomhaireacht an Aontais Eorpaigh um Chibearshlándáil (ENISA), atá tiomanta do leibhéal ard coiteann cibearshlándála a bhaint amach ar fud an Aontais. Is é misean ENISA, a bunaíodh in 2004, iontaofacht tháirgí, phróisis agus sheirbhísí na teicneolaíochta faisnéise agus cumarsáide (TFC) a fheabhsú le scéimeanna deimhnithe cibearshlándála, chun comhoibriú le EUIBAnna agus le Ballstáit, agus chun cabhrú leo ullmhú i gcoinne cibearbhagairtí. Cuidíonn ENISA le EUIBAnna i bhforbairt acmhainneachta agus i gcomhar oibríochta.

10 In ainneoin a neamhspleáchais institiúidigh, tá EUIBAnna idirnasctha go láidir. Déanann siad faisnéis a mhalartú ar bhonn laethúil chomh maith le líon áirithe córas agus líonraí coiteann a roinnt. D’fhéadfadh laigí in EUIBAnna aonair bagairtí slándála a chruthú do EUIBAnna eile, toisc go mbíonn níos mó ná céim amháin i gceist le cibirionsaithe chun a gcuspóir nó a sprioc dheiridh a bhaint amach[11]. D’fhéadfaí ionsaí rathúil i gcoinne EUIBA lag a úsáid mar chéim chun díriú ar cheann eile. Tá EUIBAnna idirnasctha le heagraíochtaí príobháideacha agus poiblí freisin sna Ballstáit, agus mar gheall ar nach bhfuil siad ullmhaithe go leordhóthanach ó thaobh na cibearshlándála de, d’fhéadfaí EUIBAnna a nochtadh do chibearbhagairtí freisin dá bharr.

11 Faoi láthair, níl aon chreat dlíthiúil ann maidir le slándáil faisnéise agus cibearshlándáil in EUIBAnna. Níl siad faoi réir na reachtaíochta is leithne de chuid an Aontais maidir le cibearshlándáil, Treoir NIS 2016 [12], ná dá athbhreithniú beartaithe, Treoir NIS2[13]. Níl aon fhaisnéis chuimsitheach ann ach oiread faoin méid a chaitheann EUIBAnna ar chibearshlándáil.

12 I mí Iúil 2020, d’fhoilsigh an Coimisiún teachtaireacht maidir le Straitéis Aontais Slándála an Aontais Eorpaigh[14] don tréimhse 2020-2025. I measc a phríomhghníomhartha tá “comhrialacha maidir le slándáil faisnéise agus maidir le cibearshlándáil do gach EUIBA”. Tá sé mar aidhm ag an gcreat nua seo a bheith mar bhonn agus taca ag comhar oibríochtúil láidir agus éifeachtúil atá dírithe ar ról CERT-EU. I Straitéis Cibearshlándála an Aontais don Deacáid Dhigiteach[15], a foilsíodh i mí na Nollag 2020, gheall an Coimisiún rialachán a mholadh maidir le comhrialacha cibearshlándála do gach EUIBA. Mhol sé freisin bunús dlí nua a bhunú do CERT-EU chun a shainordú agus a mhaoiniú a threisiú.

Raon feidhme agus cur chuige an iniúchta

13 Ó tharla go bhfuil líon na gcibirionsaithe ag dul i méid go géar agus gur féidir le laigí in EUIBA amháin bagairtí slándála a chruthú do EUIBAnna eile, ba é cuspóir an iniúchta seo a chinneadh cibé an bhfuil nó nach bhfuil socruithe leormhaithe bunaithe ag na EUIBAnna chun iad féin a chosaint ar chibearbhagairtí. Chun an phríomhcheist iniúchta seo a fhreagairt, thugamar aghaidh ar thrí fho-cheist:

  1. An bhfuil príomhchleachtais chibearshlándála glactha sna EUIBAnna ar fad?
  2. An bhfuil comhar éifeachtúil ann idir na EUIBAnna maidir le cibearshlándáil?
  3. An soláthraíonn ENISA agus CERT-EU tacaíocht leormhaith do EUIBAnna i réimse na cibearshlándála?

14 Tá uainiú an iniúchta ailínithe le Straitéis Aontas Slándála an Aontais. Trí mheasúnú a dhéanamh ar shocruithe cibearshlándála reatha de chuid EUIBAnna, tá sé mar aidhm againn réimsí atá le feabhsú a shainaithint, ar féidir leis an gCoimisiún a bhreithniú agus a thogra reachtach á dhréachtú aige maidir le rialacha cibearshlándála ceangailteacha agus coiteanna do gach EUIBA.

15 Chlúdaigh an t-iniúchadh forbairtí agus tionscnaimh i réimse na cibearshlándála ó Eanáir 2018 (nuair a bunaíodh socrú idirinstitiúideach CERT-EU) go dtí Deireadh Fómhair 2021.

16 Rinneamar ár raon feidhme iniúchta a theorannú do chibear-athléimneacht agus do chórais nach raibh rúnaicmithe. Dhíríomar ar ghnéithe ullmhachta (gníomhaíochtaí a fhreagraíonn do “aithin, cosain, brath”). Bhí “freagairt” agus “téarnamh” lasmuigh dár raon feidhme. Mar sin féin, rinneamar scrúdú ar roinnt gnéithe eagrúcháin den fhreagairt ar theagmhais. Ina theannta sin, tá an chosaint sonraí, forfheidhmiú an dlí, an chibearchosaint agus an chibearthaidhleoireacht lasmuigh dár raon feidhme (féach Fíor 2).

Fíor 2 – Raon feidhme iniúchta

Foinse: Cúirt Iniúchóirí na hEorpa.

17 Tá fionnachtana ár n-iniúchta bunaithe ar anailís fhorleathan ar na cáipéisí atá ar fáil, arna gcomhlánú ag agallaimh. Rinneamar suirbhé féinmheasúnaithe a raibh 65 EUIBA i gceist chun faisnéis a bhailiú maidir lena socruithe cibearshlándála agus a dtuairimí i dtaobh comhar idirinstitiúideach a fháil. Rinneamar suirbhé ar gach EUIBA a chumhdaítear le cearta iniúchta CIE agus a bhainistíonn a mbonneagar TF féin, chomh maith lenár n-institiúid féin. Ina measc seo bhí institiúidí, gníomhaireachtaí díláraithe, comhghnóthais agus comhlachtaí. Rinneamar suirbhé freisin ar mhisin shibhialtacha, ar eintitis uathrialacha sealadacha iad arna maoiniú ag buiséad an Aontais agus atá neamhspleách ó thaobh TF de. Cuireann Iarscríbhinn I liosta iomlán ar fáil de EUIBAnna a ndearnadh suirbhé orthu. Níor cuireadh an tOmbudsman Eorpach ná an Maoirseoir Eorpach ar Chosaint Sonraí san áireamh i raon feidhme an iniúchta seo.

18 Bhí ráta freagartha de 100 % ag an suirbhé agus bhí sé mar phointe tosaigh le haghaidh anailís bhreise. Ina theannta sin, roghnaíomar sampla de sheacht EUIBA atá ionadaíoch ar ilchineálacht EUIBAnna agus ag leanúint as a bhfreagraí bhí agallaimh agus leo agus rinneamar iarrataí ar dhoiciméadú. I measc na gcritéar roghnúcháin a mheasamar, bhí bunús dlí, méid (i dtéarmaí foirne agus buiséid) agus earnáil. Is éard a bhí sa sampla againn de EUIBAnna ná an Coimisiún Eorpach, Parlaimint na hEorpa, Gníomhaireacht an Aontais Eorpaigh um Chibearshlándáil (ENISA), an tÚdarás Baincéireachta Eorpach (ÚBE), an Ghníomhaireacht Eorpach um Shábháilteacht Mhuirí (EMSA), Misean Comhairleach an Aontais Eorpaigh le haghaidh Athchóiriú na hEarnála Sibhialtaí Slándála san Úcráin (EUAM Ukraine), Comhghnóthas maidir leis an Tionscnamh Comhpháirteach Teicneolaíochta um Chógais Leighis Nuálacha a chur chun feidhme (Comhghnóthas IMI).

19 Tionóladh cruinnithe físe freisin le CERT-EU, Coiste Comhairleach TFC Líonra na Gníomhaireachta (ICTAC), an Coiste Idirinstitiúideach um Chlaochlú Digiteach (ICDT) agus páirtithe leasmhara ábhartha eile.

Barúlacha

Tá leibhéil aibíochta cibearshlándála an-éagsúla ag EUIBAnna agus ní chomhlíonann siad dea-chleachtas i gcónaí

20 Scrúdaíonn an chuid seo socruithe aonair agus creataí cibearshlándála EUIBAnna. Rinneamar a mheas cibé acu an dtéann siad i dteagmháil le cibearshlándáil go comhsheasmhach agus go leordhóthanach, i dtéarmaí rialachas slándála TF, bainistíocht riosca, leithdháileadh acmhainní, oiliúint feasachta, rialuithe agus dearbhú neamhspleách.

Níl rialachas slándála TF i EUIBAnna forbartha go maith agus níl measúnuithe riosca cuimsitheach

Tá bearnaí i rialachas slándála TF i go leor EUIBAnna

21 Tá ról riachtanach ag dea-rialachas i gcreat éifeachtach do shlándáil na gcóras faisnéise agus TF, toisc go sainmhíníonn sé cuspóirí na heagraíochta agus soláthraíonn sé treoir trí thosaíocht agus cinnteoireacht. De réir Cumann Iniúchta agus Rialaithe na gCóras Faisnéise (ISACA)[16], ba cheart go mbeadh roinnt eilimintí i gcreat rialachais slándála TF de ghnáth:

  • straitéis slándála chuimsitheach atá nasctha go bunúsach le cuspóirí gnó;
  • beartais slándála a rialú a thugann aghaidh ar gach gné den straitéis, de rialuithe agus de rialáil;
  • tacar iomlán caighdeán do gach beartas ag cur síos ar na céimeanna oibríochta is gá chun beartas a chomhlíonadh;
  • próisis faireacháin institiúideacha chun comhlíonadh a chinntiú agus aiseolas a sholáthar ar éifeachtúlacht;
  • struchtúr eagraíochtúil éifeachtach gan aon choinbhleachtaí leasa ann.

22 D’aimsíomar easnaimh i rialachas slándála TF i go leor EUIBAnna. Níl ach 58 % de EUIBAnna (38 as 65) a bhfuil straitéis slándála TF acu nó plean slándála TF ar a laghad ceadaithe ar leibhéal an bhoird / na bainistíochta sinsearaí. Tá na céatadáin is ísle ag miondealú de réir EUIBA amhail na misin shibhialta agus na gníomhaireachtaí díláraithe sin (arb ionann iad le chéile agus 71 % de EUIBAnna a ndearnadh suirbhé orthu) (féach Tábla 1). Mura bhfuil straitéis slándála TF nó plean slándála TF ceadaithe ag leibhéal na bainistíochta sinsearaí, bíonn an baol ann nach mbeidh an ardbhainistíocht ar an eolas faoi shaincheisteanna slándála TF, nó nach dtabharfaidh siad tosaíocht leordhóthanach dóibh.

Tábla 1 – Céatadán EUIBAnna le plean nó straitéis slándála TF atá ceadaithe ag an mbainistíocht shinsearach

Miondealú de réir líon na foirne

< 100 ball foirne
(22 EUIBA)
100 go 249 ball foirne
(17 EUIBA)
250 go 1 000 ball foirne
(16 EUIBA)
> 1 000 ball foirne
(10 EUIBA)
45 % 53 % 69 % 80 %

Miondealú de réir chineál EUIBA

Gníomhaireachtaí díláraithe
(35 EUIBA)
Misin shibhialtacha
(11 EUIBA)
Comhlachtaí
(4 EUIBA)
Institiúidí
(6 EUIBA)
Comhghnóthais
(9 EUIBA)
45 % 56 % 75 % 83 % 89 %

Foinse: Suirbhé CIE.

23 Rinneamar scrúdú ar na pleananna/straitéisí slándála TF a chuir na seacht EUIBA sa sampla ar fáil (féach mír 18). Fuaireamar amach go raibh straitéisí na EUIBAnna ceangailte go réasúnta maith lena gcuspóirí gnó. Mar shampla, clúdaíonn straitéis slándála TF an Choimisiúin gné slándála TF Straitéis Dhigiteach an Choimisiúin Eorpaigh[17] agus tá sé deartha chun tacú lena threochlár agus a chuspóirí. Mar sin féin, níor chuimsigh ach trí EUIBA inár sampla spriocanna nithiúla agus sceideal ama chun iad a bhaint amach ina straitéisí/pleananna slándála TF.

24 Le beartais slándála, socraítear na rialacha agus na nósanna imeachta nach mór do dhaoine aonair a úsáideann nó a bhainistíonn faisnéis agus acmhainní TF a leanúint. Cuidíonn siad le rioscaí cibearshlándála a mhaolú agus cuireann siad eolas ar fáil maidir le cad atá le déanamh i gcás teagmhas. Fuaireamar amach go bhfuil beartas slándála faisnéise foirmiúil ag 78 % de EUIBAnna, cé nach bhfuil beartas slándála TF foirmiúil ach ag 60 % dóibh (féach Fíor 1 maidir leis na sainmhínithe ar shlándáil faisnéise agus TF). Fuaireamar amach freisin go bhfuil beartais slándála ag ceithre EUIBA as na seacht EUIBA inár sampla de réir a straitéisí slándála TF. I dtrí cinn de na ceithre cinn seo, áfach, ní chomhlíontar beartais slándála TF ach go páirteach trí chaighdeáin slándála mhionsonraithe cothrom le dáta a chuireann síos ar na céimeanna oibríochta is gá chun na beartais a chur i bhfeidhm. Méadaíonn an easpa caighdeán slándála foirmiúil an baol nach ndéileálfar go cuí agus go comhsheasmhach le saincheisteanna slándála TF ar fud an EUIBA céanna. Ina theannta sin, déanann sé níos deacra comhlíonadh na heagraíochta lena beartas slándála TF a thomhas. As na seacht EUIBA a bhí sa sampla, is é an Coimisiún amháin a rinne nósanna imeachta a struchtúrú chun faireachán a dhéanamh ar chomhlíonadh a bheartais agus a chaighdeáin slándála TF, cé nach bhfuil sé in úsáid ach ag líon teoranta Ard-Stiúrthóireachtaí (ASanna) (féach Bosca 1).

Bosca 1

Comhlíonadh slándála TF ag an gCoimisiún

Is é ceann gach AS an t-úinéir seirbhíse atá freagrach agus cuntasach as a gcórais atá ag baint caighdeáin slándála TF amach, i gcomhréir le rialachas TF cineachta ón gCoimisiún. Déantar faireachán ar chur chun feidhme agus comhlíontacht maidir le nósanna imeachta bainistíochta ag Ard-Stiúrthóireacht na Faisnéisíochta (AS DIGIT) agus an Ard-Stiúrthóireacht um Acmhainní Daonna agus um Shlándáil (AS HR). Déantar an cur chun feidhme sin a éascú freisin ag an dá Ard-Stiúrthóireacht sin. Rinne AS DIGIT uirlis a bhunú (ar a thugtar “GRC”), lena dtugtar cead do ASanna a gcomhlíontacht le rialuithe a bhaineann le beartas slándála TF a mheas agus a thuairisciú.

Tá an 580 rialú roinnte i dtrí ghrúpa: rialuithe ginearálta (den chuid is mó ar rialachas); Rialuithe sonracha AS; agus rialuithe córas-shonracha. Feidhmíonn an uirlis, áfach, ach níl ach cúig AS ann a bhain úsáid as go dtí seo. Dá réir sin, níl forléargas ag AS DIGIT ar chomhlíontacht trasna an Choimisiúin ar an iomlán. Bíodh sin mar atá, féadann Bord an Choimisiúin um Theicneolaíocht Faisnéise agus um Chibearshlándáil (ITCB) a iarraidh ar AS DIGIT comhlíontacht sainchaighdeáin (e.g. fíordheimhniú ilfhachtóra in 2021) a fhiosrú, agus is féidir leis an mBord tuairimí agus moltaí neamh-cheangailteacha a eisiúint, nó ceanglais fhoirmiúla i gcás rioscaí criticiúla freisin.

25 Gné thábhachtach eile i ndea-rialachas cibearshlándála is ea Príomhoifigeach Slándála Faisnéise (CISO) a cheapadh. Cé nach n-éilíonn grúpa caighdeán ISO 27000 go sainráite é[18], tá cleachtas CISO nó ról coibhéiseach anois ina chleachtas forleathan ar fud eagraíochtaí agus tá sé mar chuid de threoirlínte ISACA. De ghnáth, bíonn freagracht fhoriomlán ar an CISO as cláir faisnéise agus slándála TF na heagraíochta. D’fhonn aon choinbhleacht leasa a sheachaint, ba cheart go mbeadh méid áirithe neamhspleáchais ag an CISO ón bhfeidhm / roinn TF[19].

26 De réir ár suirbhé, níor shainnigh 60 % de EUIBAnna CISO neamhspleách ná ról comhionann. Fiú nuair a cheaptar CISOnna (nó a gcomhionann), tá difríochtaí móra idir a róil – agus tá tuiscintí éagsúla ann faoina bhfeidhmeanna – idir EUIBAnna. Go háirithe in EUIBAnna beaga agus meánmhéide, is gnách go mbíonn baint ag CISOnna le róil oibríochta den chuid is mó, nach bhfuil neamhspleách ón roinn TF ó thaobh feidhme de. D’fhéadfadh an méid sin srian a chur ar neamhspleáchas na CISOnna chun a dtosaíochtaí slándála a chur chun feidhme. Tá ENISA ag obair faoi láthair ar Chreat Scileanna Cibearshlándála an Aontais a bhfuil sé mar aidhm aige, i measc nithe eile, comhthuiscint a chruthú ar róil, inniúlachtaí agus scileanna.

Den chuid is mó ní chlúdaíonn measúnuithe riosca slándála TF EUIBA a dtimpeallacht TF uile

27 Cuireann na caighdeáin idirnáisiúnta go léir maidir le slándáil TF béim ar a thábhachtaí atá sé modh oiriúnach a bhunú chun rioscaí slándála a théann i bhfeidhm ar chórais TF agus na sonraí atá iontu a mheas agus a láimhseáil. Ba cheart measúnuithe riosca a dhéanamh go tréimhsiúil chun aghaidh a thabhairt ar athruithe ar riachtanais agus faisnéis slándála eagraíochta[20]. Ba cheart plean maolaithe riosca (nó plean slándála TF) a leanúint.

28 Chuir an chuid ba mhó de EUIBAnna sa suirbhé (58 as 65) in iúl go bhfuil creat nó modheolaíocht in úsáid acu chun measúnuithe riosca a dhéanamh ar a gcórais TF. Mar sin féin, níl aon mhodheolaíocht chomhchoiteann i measc na EUIBAnna. Baineann 26 EUIBA ar a laghad úsáid go páirteach nó go hiomlán as na measúnuithe riosca atá forbartha ag an gCoimisiún, agus go háirithe bhain 31 % de EUIBAnna úsáid as modheolaíocht bainistithe riosca slándála TF 2018 (ITSRM2). Leanann na cinn eile modheolaíochtaí atá bunaithe ar chaighdeáin aitheanta tionscail (mar shampla ISO27001, ISO27005, creat cibearshlándála na hInstitiúide Náisiúnta Caighdeán agus Teicneolaíochta (NIST-CSF) nó rialuithe an Lárionaid um Shlándáil Idirlín (CIS)) nó úsáideann siad modheolaíochtaí inmheánacha eile.

29 I measc na seacht EUIBA a ndearnadh sampláil orthu, ní dhéanann ach dhá cheann measúnuithe riosca cuimsitheacha trína gcumhdaítear a dtimpeallacht TF iomlán (i.e. a gcórais TF go léir). Ní dhéanann an chuid is mó díobh measúnuithe riosca aonair ach amháin ar a gcórais TF is tábhachtaí. D’aithníomar roinnt samplaí de mheasúnuithe riosca a rinneadh sular úsáideadh córais nua. Mar sin féin, ní bhfuaireamar fianaise ar mheasúnuithe riosca leantacha a bhí nasctha, mar shampla, le hathruithe ina dhiaidh sin ar a gcórais / a mbonneagar.

Ní thugann EUIBAnna aghaidh ar chibearshlándáil go comhsheasmhach agus ní i gcónaí a bhíonn rialuithe riachtanacha i bhfeidhm

Tá éagsúlacht mhór i leithdháileadh acmhainní do chibearshlándáil i measc EUIBAnna

30 Inár suirbhé, d’iarramar ar EUIBAnna a gcaiteachas iomlán TF in 2020 a sholáthar, mar aon le meastachán ar an méid a chaitear ar chibearshlándáil. Taispeánann ár sonraí éagsúlachtaí suntasacha sa chéatadán den chaiteachas TF a leithdháileann EUIBAnna aonair ar chibearshlándáil. Tá sé seo fíor fiú i measc EUIBAnna den mhéid céanna, i dtéarmaí líon na foirne. Mar a léirítear i bhFíor 3, tá an claonadh ann go mbíonn difríochtaí an-ard i measc EUIBAnna le níos lú foirne.

Fíor 3 – Caiteachas ar chibearshlándáil mar chéatadán den chaiteachas iomlán TF (EUIBAnna i ngrúpaí de réir líon foirne)

Nóta: Níor chuir ceithre EUIBA figiúirí ar fáil maidir le caiteachas cibearshlándála.

Foinse: Suirbhé CIE.

31 Tá sé deacair an leibhéal is fearr is féidir de chaiteachas ar chibearshlándáil a mheas i dtéarmaí iomlána. Braitheann sé ar go leor fachtóirí, mar dhromchla ionsaithe na heagraíochta, íogaireacht na sonraí a láimhseálann sí, a próifíl agus inghlacthacht riosca, agus riachtanais dhlíthiúla / rialála earnála. Mar sin féin, tugann ár gcuid sonraí chun suntais go bhfuil na difríochtaí suntasach agus nach mbíonn na cúiseanna leis seo soiléir i gcónaí. Caitheann roinnt EUIBAnna i bhfad níos lú airgid ar chibearshlándáil ná a bpiaraí atá thart ar an méid céanna leo, rud a d’fhéadfadh ghannchaiteachas a chur in iúl más rud é go bhfuil siad nochtaithe do bhagairtí agus rioscaí den chineál céanna.

32 Tá an chuid is mó de EUIBAnna ar leibhéal íseal go meánach i dtéarmaí caiteachais foirne agus TF, agus tá níos lú ná 350 ball foirne ag dhá thrian de EUIBAnna. Níl ach 15 bhall foirne ag an EUIBA is lú. Tá sé níos dúshlánaí agus níos déine do EUIBAnna níos lú cibearshlándáil a bhainistiú. I bhformhór na gcásanna, ní féidir leo leas a bhaint as barainneachtaí scála agus níl saineolas inmheánach leordhóthanach acu. Bunaithe ar ár suirbhé agus agallaimh, tá foirne saineolaithe ag na hinstitiúidí is mó, cosúil leis an gCoimisiún agus Parlaimint na hEorpa, a bhainistíonn an chibearshlándáil go lánaimseartha. Mar sin féin, ag na EUIBAnna is lú, áit a bhfuil an fhoireann agus na hacmhainní sách teoranta, níl aon saineolaí ann ar chor ar bith, agus bainistíonn baill foirne a bhfuil cúlra TF acu an chibearshlándáil go páirtaimseartha. Ós rud é go bhfuil nasc láidir idir EUIBAnna, bíonn riosca méadaithe ann dá bharr (féach freisin mír 10).

33 Inár suirbhé, chuireamar ceist ar EUIBAnna faoi na dúshláin mhóra a bhí ann i gcur chun feidhme na mbeartas cibearshlándála ina n-eagraíochtaí (féach Fíor 4). Is é an dúshlán is mó ná gur acmhainn gann iad saineolaithe cibearshlándála agus go mbíonn sé deacair ar go leor EUIBAnna iad a mhealladh, mar gheall ar iomaíocht ón earnáil phríobháideach agus ó EUIBAnna eile. I measc na saincheisteanna a luadh go minic, tá nósanna imeachta earcaíochta fada, coinníollacha conartha neamhiomaíoch agus easpa deiseanna tarraingteacha gairme. Tá ganntanas d’fhoireann shaineolaithe ina riosca suntasach do láimhseáil éifeachtach na cibearshlándála.

Fíor 4 – Dúshláin i gcur chun feidhme na mbeartas cibearshlándála in EUIBAnna (d’fhéadfaí níos mó ná gné amháin a roghnú)

Foinse: Suirbhé CIE.

Tairgeann an chuid is mó de EUIBAnna cineál éigin oiliúna feasachta ar chibearshlándáil, ach níl sí córasach ná spriocdhírithe ar bhealach maith

34 Ní hé leas a bhaint as leochaileachtaí i gcórais agus i bhfeistí an t-aon bhealach atá ag ionsaitheoirí ionchasacha chun díobháil a dhéanamh. Féadann siad úsáideoirí a spreagadh freisin chun faisnéis íogair a nochtadh nó bogearraí mailíseacha a íoslódáil, mar shampla trí fhioscaireacht nó innealtóireacht shóisialta. Tá an fhoireann mar chuid den chéad líne chosanta do gach eagraíocht. Dá bhrí sin, tá cláir chibirfheasachta agus oiliúna ina bpríomhghné de chreat éifeachtach um chibearshlándáil.

35 Cuireann an chuid is mó de EUIBAnna sa suirbhé (95 %) cineál éigean den oiliúint ghinearálta ar chibirfheasacht ar fáil don fhoireann ar fad, seachas trí cinn acu. Mar sin féin, ní eagraíonn ach 41 % de EUIBAnna sainoiliúint nó seisiúin feasachta do bhainisteoirí agus ní sholáthraíonn ach 29 % oiliúint éigeantach cibearshlándála do bhainisteoirí atá freagrach as córais TF ina bhfuil faisnéis íogair. Tá feasacht agus tiomantas bainistíochta ríthábhachtach do rialachas éifeachtach cibearshlándála. As an aon EUIBA déag ina luaitear an easpa tacaíochta bainistíochta mar dhúshlán don chibearshlándáil éifeachtach, níor chuir ach trí cinn acu roinnt oiliúna feasachta ar fáil dá lucht bainistíochta. Tá oiliúint chibearshlándála leanúnach curtha ar fáil ag 58 % agus 51 % de EUIBAnna, faoi seach, don fhoireann TF agus speisialtóirí slándála TF.

36 Níl sásraí ag gach EUIBA chun faireachán a dhéanamh ar fhreastal foirne ar oiliúint chibearshlándála agus ar an athrú ina dhiaidh sin ar a bhfeasacht agus ar a n-iompar. D’fhéadfadh sé gurb amhlaidh go gcuirtear seisiúin chibirfheasachta ar fáil nuair a bhíonn cruinnithe foirne neamhfhoirmiúla ar siúl, go háirithe in eagraíochtaí beaga. Is é an príomhbhealach a thomhaiseann eagraíochtaí feasacht foirne ná iad a thástáil go tréimhsiúil ar a n-iompraíocht, lena n-áirítear trí shuirbhéanna aibíochta nó cleachtaí fioscaireachta. Le cúig bliana anuas, tá feachtas fioscaireachta ionsamhailte (nó cleachtaí comhchosúla) amháin nó níos mó eagraithe ag 55 % de EUIBAnna. Toisc go bhfuil an fhioscaireacht ar cheann de na príomhbhagairtí atá roimh bhaill foirne i riaracháin phoiblí[21], is uirlis thábhachtach iad na cleachtaí seo chun baill foirne a oiliúint agus feasacht a mhúscailt. Fuaireamar amach gur dea-chleachtas a bhí i ngníomhaíochtaí cibirfheasachta an Choimisiún agus go raibh siad ar fáil do EUIBAnna eile a raibh spéis acu iontu (féach Bosca 2).

Bosca 2

Oiliúint chibirfheasachta ag an gCoimisiún

Tá foireann thiomnaithe “Cyber Aware” [Feasach ar Chibearshlándáil] ag an gCoimisiún in AS DIGIT a stiúrann an clár corparáideach maidir le hardú feasachta i ndáil leis an gcibearshlándáil. Déantar an clár a bhainistiú agus a reáchtáil i gcomhar le AS HR, leis an Ard-Rúnaíocht, le hArd-Stiúrthóireacht na Líonraí Cumarsáide, an Ábhair Dhigitigh agus na Teicneolaíochta (AS CNECT) agus le CERT-EU. Tá an oiliúint ar ardchaighdeán agus in go leor cásanna tá sroicheadh idirinstitiúideach aici. Fógraítear seisiúin oiliúna tríd an bhFeasachán Foghlama, a shroicheann timpeall 65 000 ball foirne de chuid an Aontais. Tríd an ardán “Cyber Aware”, d’eagraigh an Coimisiún 15 chleachtadh fioscaireachta le cúig bliana anuas agus rinne sé an chéad chleachtadh uile-Choimisiúin le déanaí.

Ní chuirtear rialuithe riachtanacha chun feidhme i gcónaí, nó ní dhéantar caighdeáin fhoirmeálta díobh

37 D’iarramar ar EUIBAnna féinmheasúnú a dhéanamh ar a gcur chun feidhme maidir le rogha rialuithe riachtanacha[22]. Roghnaíomar sraith dea-chleachtas a d’fhéadfadh eagraíocht níos lú a chur chun feidhme go réasúnta[23]. Déantar achoimre ar na torthaí i bhFíor 5. Tá na rialuithe riachtanacha roghnaithe glactha ag an gcuid is mó de EUIBAnna a ndearnadh suirbhé orthu. I roinnt réimsí, áfach, is cosúil go bhfuil rialuithe easnamhach nó teoranta in 20 % ar a laghad de EUIBAnna.

Fíor 5 – Rialuithe ríthábhachtacha a chur chun feidhme in EUIBAnna (torthaí féinmheasúnaithe)

Foinse: Suirbhé CIE.

38 Maidir leis an seacht EUIBA a sampláladh, d’iarramar doiciméid tacaíochta agus caighdeáin / beartais chomhfhreagracha do gach rialú a dhearbhaigh siad a bheith curtha i bhfeidhm. Fuaireamar na doiciméid seo le haghaidh 62 % de na rialuithe. Mar a shoiléiríodh le linn na n-agallamh, bhí rialuithe teicniúla i bhfeidhm i gcásanna ar leith, ach níor cuireadh ar bhonn foirmiúil iad i gcaighdeáin nó i mbeartais a bhí cothrom le dáta. Mhéadaigh sé sin an baol nach ndéileálfaí go comhsheasmhach le saincheisteanna slándála TF ar fud an EUIBA céanna (féach mír 24 freisin).

Níl a gcuid socruithe cibearshlándála ag roinnt EUIBAnna faoi réir dearbhú neamhspleách rialta

39 De réir an ISACA[24], tá iniúchadh inmheánach ar cheann de na trí líne chosanta riachtanacha in eagraíocht, agus is iad bainistiú agus bainistiú riosca an dá cheann eile. Trí iniúchtaí inmheánacha, cuirtear feabhas ar rialachas faisnéise agus slándála TF. Scrúdaíomar a mhinice a bhailíonn EUIBAnna dearbhú neamhspleách ar a gcreat slándála TF, trí iniúchtaí inmheánacha nó seachtracha agus trí thástáil réamhghníomhach ar a gcibearchosaintí.

40 Tá Seirbhís Iniúchóireachta Inmheánaí (IAS) an Choimisiúin freagrach, i measc rudaí eile, as iniúchtaí TF a dhéanamh ar an gCoimisiún, agus as gníomhaireachtaí díláraithe, comhghnóthais agus SEGS. Clúdaíonn sainordú na seirbhíse 46 (70 %) den 65 EUIBA a ndearna muid suirbhé orthu agus rinne IAS iniúchtaí a bhaineann le slándáil TF ar 6 EUIBA éagsúla le cúig bliana anuas. Ina theannta sin, tá AS HR inniúil chun cigireachtaí slándála TF a dhéanamh lena gcumhdaítear gnéithe slándála faisnéise teicniúla[25]. As na EUIBAnna eile, thuairiscigh seacht gcinn go raibh a bhfeidhm iniúchta inmheánaigh féin acu a chlúdaíonn gnéithe TF, ach i gcás dhá cheann déag de EUIBAnna, níor leor na freagraí ar ár suirbhé chun a fháil amach an bhfuil an cumas iniúchta inmheánaigh sin acu.

41 Bealach eile chun dearbhú neamhspleách a bhailiú is ea iniúchtaí seachtracha slándála TF a dhéanann eintitis neamhspleácha. In ainneoin an chibir-thírdhreach atá ag síorathrú go tapa, idir tús 2015 agus an chéad ráithe de 2021, ní raibh 34 % de EUIBAnna faoi réir aon iniúchta slándála TF inmheánaigh nó sheachtraigh. Nochtann miondealú ar an bhfigiúr deireanach sin de réir chineál EUIBA nach ndearna 75 % de chomhlachtaí AE, 66 % de chomhghnóthais agus 45 % de mhisin shibhialtacha iniúchadh slándála TF inmheánach nó seachtrach a dhéanamh ó 2015.

42 Seachas iniúchtaí inmheánacha agus seachtracha, bealach eile d’eagraíochtaí dearbhú a fháil ar a gcreat slándála TF is ea a gcuid cibearchosaintí a thástáil go réamhghníomhach chun leochaileachtaí a shainaithint. Modh amháin chun é seo a dhéanamh is ea tástálacha treáite (ar a dtugtar haiceáil eiticiúil freisin), ar a bhfuil cibirionsaí ionsamhalta údaraithe ar chórais ríomhaireachta aonair. Mar fhreagra ar ár suirbhé, luaigh 69 % de EUIBAnna go ndearna siad tástáil treáite amháin ar a laghad le cúig bliana anuas. In 45 % de na cásanna, ba é CERT-EU an t-eintiteas a rinne na tástálacha treáite.

43 Bealach eile chun cibearchosaintí a thástáil trí ionsaithe ionsamhalta is ea cleachtaí “foirne deirge”, ag úsáid teicnící a úsáideadh le déanaí in ionsaithe a tharla ó cheart. Tá siad níos casta agus níos cuimsithí ná tástálacha treáite sa mhéid is go mbíonn an iomad córas agus bealach féideartha ionsaithe i gceist leo. Ní reáchtálann na EUIBAnna iad chomh minic: thuairiscigh 46 % de EUIBAnna cleachtadh foirne deirge amháin ar a laghad sna cúig bliana deireanacha. Rinne CERT-EU 75 % de na cleachtaí seo. Tá go leor oibre i gceist le cleachtaí foirne deirge a ullmhú agus a dhéanamh agus faoi láthair tá sé de chumas ag CERT-EU níos mó ná cúig go sé chleachtadh a chur i gcrích in aghaidh na bliana.

44 Seachas dhá EUIBA a bunaíodh le déanaí, ní dhearnadh tástálacha treáite ná cleachtaí foirne dearga le cúig bliana anuas ag 16 (25 %) de na EUIBAnna a ndearnadh suirbhé orthu. Ar an iomlán, ní raibh seacht EUIBA (10 %) faoi réir aon chineál dearbhaithe neamhspleách ar a socruithe slándála TF: comhghnóthas amháin, gníomhaireacht dhíláraithe amháin agus cúig mhisean sibhialtacha.

Tá sásraí comhair bunaithe ag EUIBAnna, ach tá easnaimh ann

45 Breathnaíonn an chuid seo ar na gníomhaithe agus na coistí a bunaíodh chun comhar a chur chun cinn i measc EUIBAnna i réimse na cibearshlándála, chomh maith le rialachas idirinstitiúideach agus socruithe comhordaithe. Go sonrach, rinneamar scrúdú ar dhá ghníomhaí idirinstitiúideach, ENISA agus CERT-EU, agus dhá choiste idirinstitiúideach, an Coiste Idirinstitiúideach um Chlaochlú Digiteach (ICDT), go háirithe a fhoghrúpa cibearshlándála (CSSG), agus an Coiste Comhairleach um Theicneolaíochtaí Faisnéise agus Cumarsáide (ICTAC). Rinneamar measúnú freisin ar a mhéid a sholáthraíonn siad sin sineirgí chun ullmhacht cibearshlándála EUIBA a mhéadú.

Tá struchtúr atá curtha ar bonn foirmiúil ann do EUIBAnna chun a gcuid gníomhaíochtaí a chomhordú, cé go mbaineann roinnt saincheisteanna rialachais leo

46 Is iad an ICDT agus ICTAC an dá phríomhchoiste a chuireann comhar ar TF chun cinn i measc EUIBAnna. Comhdhéanta de bhainisteoirí TF ó institiúidí agus comhlachtaí an AE, is fóram é an ICDT chun malartú faisnéise agus comhar a chothú. Tá foghrúpa cibearshlándála aige (ICDT CSSG) a thuairiscíonn don ICDT agus is féidir leis sin a mholadh cinntí a ghlacadh ar shaincheisteanna ar leith. Os a choinne sin, is foghrúpa de Líonra Gníomhaireachtaí AE (EUAN) é ICTAC, líonra neamhfhoirmiúil atá curtha ar bun ag ceannairí ghníomhaireachtaí an AE a dhíríonn ar chomhar i measc gníomhaireachtaí agus comhghnóthas. Tá róil chomhlántacha sainithe go soiléir ag an ICDT agus ICTAC: Clúdaíonn ICTAC gníomhaireachtaí díláraithe agus comhghnóthais, agus clúdaíonn an ICDT institiúidí agus comhlachtaí. De réir nádúir, is grúpaí agus fóraim chomhairleacha neamhfhoirmiúla iad ICDT agus ICTAC chun faisnéis agus dea-chleachtas a mhalartú. Tá tuilleadh faisnéise faoi na coistí idirnáisiúnta sin curtha i láthair in Iarscríbhinn II.

Ní leor ionadaíocht EUIBAnna i bhfóraim ábhartha i gcónaí

47 Cé go bhfuil na struchtúir ionadaíochta soiléir, ní mheasann gach EUIBA go bhfuil a n-ionadaíocht iarbhír leordhóthanach. Nuair a iarradh orthu inár suirbhé tuairim a thabhairt ar an ráiteas “Déantar mo riachtanais a mheas go leordhóthanach sna fóraim idirinstitiúideacha ábhartha agus tá ionadaíocht leordhóthanach ag mo EUIBA sna boird chinnteoireachta”, d’easaontaigh 42 % de EUIBAnna. Mheas cuid de na cinn is lú nach raibh a ndóthain acmhainní acu chun páirt ghníomhach a ghlacadh i bhfóraim idirinstitiúideacha.

48 Níl bord stiúrtha CERT-EU, a phríomhchomhlacht cinnteoireachta, ionadaíoch ar a chomhchomhlachtaí ina iomláine. Soláthraíonn CERT-EU seirbhísí do 87 EUIBA, agus trí chomhlacht nach EUIBA iad. Mar sin féin, ní chuimsíonn a mbord stiúrtha ach ionadaithe ó na 11 shínitheoir leis an socrú idirinstitiúideach (na seacht n-institiúid AE móide SEGS, an Coiste Eacnamaíoch agus Sóisialta, Coiste na Réigiún agus an Banc Eorpach Infheistíochta), agus ionadaí ENISA, le vóta amháin ag gach ceann acu[26].

49 Is gníomhaireachtaí díláraithe AE agus comhghnóthais iad níos mó ná leath de chomhchomhlachtaí CERT-EU, a bhfuil, le chéile, timpeall 12 000 ball foirne acu. Go foirmiúil, déanann ENISA ionadaíocht ar a leasanna ar bhord stiúrtha CERT-EU. Mar sin féin, tá sainordú ENISA chun ionadaíocht a dhéanamh ar ghníomhaireachtaí agus ar chomhghnóthais AE lag, toisc nár cheap siad go díreach iad nó níor toghadh iad. Go praiticiúil, cuireann ionadaí ICTAC tuairimí na ngníomhaireachtaí díláraithe agus na gcomhghnóthas in iúl i gcruinnithe boird stiúrtha, a bhfuil cead aige freastal orthu chun cabhrú le ENISA ina ról mar ionadaí do na gníomhaireachtaí. In ainneoin tuairimí agus leasanna 48 EUIBA a chur in iúl, níl suíochán foirmiúil ná vóta foirmiúil ag ionadaí ICTAC faoi láthair ar an gclár stiúrtha. I mí Aibreáin 2021, chuir ICTAC iarraidh fhoirmiúil ar chearta vótála chuig cathaoirleach bhord stiúrtha CERT-EU. Agus é seo á scríobh, níor deonaíodh an iarraidh sin go fóill. Tá forléargas ar ionadaíocht EUIBAnna maidir le boird agus coistí cinnteoireachta curtha ar fáil i bhFíor 6.

Fíor 6 – Forléargas ar rialachas agus ionadaíocht na cibearshlándála i mboird agus coistí cinnteoireachta

Foinse: Cúirt Iniúchóirí na hEorpa.

50 Tá rialachas idirinstitiúideach ar chibearshlándáil EUIBAnna ilroinnte agus níl forléargas cuimsitheach faoi láthair ag aon eintiteas aonair ar aibíocht chibearshlándála EUIBAnna, ar an údarás chun ról ceannais a ghlacadh ná chun comhchaighdeáin a fhorfheidhmiú. Ní féidir le ENISA agus CERT-EU araon ach “tacaíocht” agus “cúnamh” a thabhairt do EUIBAnna. Níl aon chumhacht chinnteoireachta ag na coistí ábhartha agus ní féidir leo ach moltaí a dhéanamh chuig na EUIBAnna. Ina theannta sin, i gcás an cúigiú cuid de na EUIBAnna a ndearnadh suirbhé orthu, níl sé soiléir ach oiread cá háit le seirbhís, uirlis nó réiteach ar leith a lorg.

Tá meabhráin tuisceana i measc príomhghníomhaithe ann ach go dtí seo níl torthaí nithiúla curtha ar fáil acu

51 Síníodh meabhrán tuisceana (MoU) idir ENISA, CERT-EU, Ionad Cibearchoireachta Eorpach Europol (EC3) agus Gníomhaireacht Cosanta na hEorpa (EDA) i mBealtaine 2018. Dhírigh sé ar chúig réimse comhair: malartú faisnéise; oideachas agus oiliúint; cibearchleachtaí; comhar teicniúil; agus nithe straitéiseacha agus riaracháin. Cé go bhféadfadh an MoU seo dúbailtí a sheachaint trí chomhchlár oibre a bheith ann, ní fhacamar fianaise gur tháirg sé táirgí insoláthartha nithiúla ná comhghníomhartha.

52 San Acht um Chibearshlándáil (CSA), a tháinig i bhfeidhm i mí an Mheithimh 2019, foráladh do chomhshocrú comhair nua agus sonrach a shíniú idir CERT-EU agus ENISA. Is fiú a lua gur thóg sé níos mó ná bliain go leith an MoU a shíniú, agus síníodh faoi dheireadh é i mí Feabhra 2021. Déanann an MoU seo iarracht comhar struchtúrtha a bhunú idir CERT-EU agus ENISA. Sainmhíníonn sé a réimsí comhair (forbairt acmhainneachta, comhar oibríochta, agus eolas agus faisnéis) agus tá sé leagtha amach go garbh ann cén chaoi leis na róil a roinnt eatarthu: Beidh CERT-EU chun tosaigh maidir le cúnamh a thabhairt do EUIBAnna, le ENISA ag cur leis an iarracht. Ní shainmhínítear sa Mheabhrán Tuisceana na socruithe praiticiúla, mar a shonraítear iad i bplean comhair bliantúil. Ghlac bord bainistíochta ENISA an chéad phlean comhair bliantúil do 2021 i mí Iúil 2021 agus bord stiúrtha CERT-EU i mí Mheán Fómhair 2021. Tá sé ró-luath mar sin dár n-iniúchadh a mheas cibé an bhfuil nó nach bhfuil aon toradh inláimhsithe ar an bplean seo.

53 Ós rud é go bhfuil aidhmeanna coiteanna agus réimsí comhair amhail oiliúint, cleachtaí nó malartú faisnéise i gceist leis na Meabhráin Chomhthuisceana dá dtagraítear i mír 51 agus i mír 52, tá baol ann go bhfágfaidh sé sin cúraimí ag trasnú ar a chéile agus gnéithe ann nach bhfuil feidhm leo a thuilleadh.

Níor baineadh leas iomlán as sineirgí a d’fhéadfadh a bheith ann trí chomhar fós

Glacadh céimeanna dearfacha chun sineirgí a bhaint amach

54 I gcláir oibre choistí ICTAC agus ICDT CSSG, sainaithnítear ábhair ábhartha inar féidir gnóthachain éifeachtúlachta a bhaint amach trí chomhoibriú. I measc samplaí praiticiúla de thionscnaimh a lig do EUIBAnna leas a bhaint as sineirgí tá:

  • creatchonarthaí idirinstitiúideacha;
  • lárionad coiteann le haghaidh téarnamh ó thubaistí arna óstáil ó 2019 ag Oifig Maoine Intleachtúla an Aontais Eorpaigh (EUIPO) do na gníomhaireachtaí díláraithe, rud a cheadaíonn coigilteas costais 20 % ar a laghad i gcomparáid le praghsanna margaidh (ghlac naoi ngníomhaireacht an réiteach seo le haghaidh téarnaimh ó thubaistí);
  • comhaontuithe idir sé chomhghnóthas atá lonnaithe san fhoirgneamh céanna chun bonneagar coiteann agus comhchreat slándála TF a roinnt (ó 2014).

55 Sampla tábhachtach eile is ea an “GovSec”, córas a chuidíonn le EUIBAnna measúnuithe riosca a dhéanamh i bhfianaise réitigh néil a ghlacadh. De réir ár suirbhé, úsáideann 75 % de EUIBAnna roinnt ardán néil poiblí cheana féin, agus tá roinnt acu siúd nach n-úsáideann iad ag pleanáil ascnamh go dtí an néal. Ó 2019 i leith, tá an Coimisiún ag saothrú cur chuige dar teideal “cloud-first” [tús áite a thabhairt don néal] a chur i bhfeidhm, rud a chuimsíonn tairiscint shlán do sheirbhís il-néal hibridí[27]. Feidhmíonn an Coimisiún freisin mar bhróicéir néil do gach EUIBA, i gcomhthéacs an chreatchonartha “Cloud II”. Teastaíonn scileanna nua agus cur chuige difriúil i gcomparáid le bonneagar TF traidisiúnta “ar an láthair” chun rioscaí slándála agus cosanta sonraí a bhainistiú ar ardáin néil. Dúshlán coitianta do EUIBAnna is ea bainistíocht éifeachtach riosca slándála faisnéise sa néal, agus is sampla é GovSec de réiteach a d’fhéadfadh freagairt do riachtanais roinnt EUIBAnna, nó dóibh uile.

Níl an comhoibriú agus an chomhroinnt cleachtais i measc EUIBAnna fós barrmhaith

56 Ní bhíonn sineirgí ann go huathoibríoch de bharr go bhfuil coistí idirinstitiúideacha ann, agus ní bhíonn EUIBAnna i gcónaí ag roinnt dea-chleachtas, saineolas, modheolaíochtaí agus ceachtanna a fhoghlaimítear. Ina theannta sin, is ar gach EUIBA féin atá an dualgas cinneadh a ghlacadh maidir lena leibhéal rannpháirtíochta in obair ICDT de chuid CSSG. In ainneoin freastal ar chruinnithe, ní féidir le baill den ICDT CSSG rannchuidiú a dhéanamh ach a mhéid is féidir leo de réir a ndualgas rialta sna EUIBAnna, agus chuir sé seo moill ar an dul chun cinn cheana féin maidir leis na gníomhartha a chomhaontaigh roinnt tascfhórsaí a chur chun feidhme.

57 D’aimsíomar réimsí ar leith nach bhfuil socruithe ann do EUIBAnna taithí agus tionscnaimh a roinnt. Mar shampla, faoin gcreatchonradh “Cumas Cosanta Líonra” (NDC), is féidir le EUIBAnna staidéar a iarraidh chun riachtanais chibearshlándála a chomhdhlúthú agus réitigh a aimsiú. Mar sin féin, níl aon stór de staidéir den sórt sin déanta ná iarrtha ag EUIBAnna eile, agus dá bhrí sin is féidir le EUIBAnna an staidéar céanna a iarraidh arís agus arís eile. Ina theannta sin, ní nochtann EUIBAnna go córasach dá chéile go bhfuil caidreamh conarthach acu le soláthraithe ar leith nó go n-úsáideann siad réiteach bogearraí ar leith. D’fhéadfadh costais bhreise agus sineirgí a bheith caillte mar thoradh ar an mbearna eolais seo.

58 Ní dhéanann EUIBAnna faisnéis a roinnt go córasach lena chéile maidir le tionscadail chibearshlándála atá ar bun acu, fiú má d’fhéadfadh tionchar idirinstitiúideach a bheith acu. Cuimsítear i sainordú ICDT CSSG foráil do EUIBAnna faisnéis a roinnt faoi thionscadail nua a d’fhéadfadh dul i gcion ar chibearshlándáil EUIBAnna eile agus/nó ar chosaint faisnéise a thagann astu. Mar sin féin, ní choinnítear an ICDT CSSG ar an eolas faoi thionscadail den sórt sin.

59 Nuair a chruthaítear gníomhaireacht nua, caithfidh sí a bonneagar TF agus a creat slándála TF a thógáil ón tús. Níl aon “chatalóg seirbhíse”, bosca uirlisí ná treoirlínte / ceanglais shoiléire ann do ghníomhaireachtaí nua. Is é an toradh atá air ná ilchineálacht shubstaintiúil i dtimpeallachtaí TF ar fud EUIBAnna, rud a fhágann go bhféadfadh sé go mbeadh lánrogha ag gach eagraíocht a bogearraí, a crua-earraí, a bonneagar agus a seirbhísí féin a fháil go neamhspleách ar a chéile. Tarlaíonn an rud céanna leis an gcreat slándála TF, in éagmais ceanglas agus caighdeán coiteann. D’fhéadfadh dúbailt fhéideartha d’iarrachtaí agus úsáid mí-éifeachtach airgead an Aontais a bheith mar thoradh ar an staid seo, ach freisin castacht mhéadaithe do CERT-EU i dtéarmaí na tacaíochta a chaithfidh sé a sholáthar.

Tá easnaimh phraiticiúla ann maidir le faisnéis íogair a mhalartú

60 Níl réitigh iomchuí fós ag roinnt EUIBAnna chun faisnéis íogair nach bhfuil rúnaicmithe a mhalartú. Iadsan a bhíonn ag roinnt na faisnéise sin, is iondúil go bhfuil a gcuid táirgí agus córas éagsúil féin glactha acu, rud a chiallaíonn gur saincheist í an idir-inoibritheacht. Níl ardáin shlán chomhchoiteanna ann chun críocha sainiúla amháin, mar shampla na hardáin a thairgeann CERT-EU do gach comhchomhlacht chun faisnéis íogair ar theagmhais, bagairtí agus leochaileachtaí a mhalartú.

61 Mar shampla, níl seirbhís chriptithe ríomhphoist ag níos mó ná 20 % de EUIBAnna. Iadsan a bhfuil seirbhís chriptithe acu, is minic leo fadhbanna idir-inoibritheachta a bheith acu agus ní thugtar aitheantas frithpháirteach do dheimhnithe. Tá an ICTAC agus ICDT ag plé roghanna maidir le réiteach inscálaithe agus idir-inoibritheach le blianta, agus in 2018 reáchtáladh tionscadal píolótach. Mar sin féin, níor réitíodh an cheist seo go fóill.

62 Saincheist eile is ea easpa marcálacha comónta ar fhaisnéis íogair nach bhfuil rúnaicmithe. Is catagóirí iad marcálacha trína n-insítear do shealbhóirí faisnéise na sainriachtanais chosanta don fhaisnéis sin. Tá difríochtaí eatarthu idir EUIBAnna, rud a fhágann go mbíonn sé casta faisnéis a mhalartú agus a láimhseáil i gceart.

63 In 2020, le paindéim COVID-19, b’éigean do EUIBAnna uirlisí cumarsáide agus físchomhdhála a ghlacadh ar scála mór chun leanúnachas gnó a chinntiú. D’aithníomar ar a laghad 15 réiteach bogearraí físchomhdhála éagsúla atá in úsáid i measc EUIBAnna. Fiú nuair a úsáideann EUIBAnna éagsúla an réiteach / ardán céanna, is minic don idir-inoibritheacht a bheith easnamhach fiú nuair a úsáideann na páirtithe uile an réiteach bogearraí céanna. Ina theannta sin, bhí difríocht idir treoirlínte maidir le cén fhaisnéis (i dtéarmaí íogaireachta) a d’fhéadfaí a roinnt nó a phlé ar ardán ar leith idir EUIBAnna. Leanann neamhéifeachtúlachtaí eacnamaíocha agus oibríochta as fadhbanna den sórt sin agus d’fhéadfaidís fadhbanna slándála féideartha a chruthú.

Níor thug ENISA ná CERT-EU an tacaíocht ar fad a theastaíonn uathu go fóill do na EUIBAnna

64 Maidir leis an gcuid seo, rinneamar scrúdú ar an dá phríomh-eintiteas a bhfuil sé de chúram orthu tacú le EUIBAnna ar chibearshlándáil: ENISA agus CERT-EU. Rinneamar measúnú féachaint an ndeachaigh an tacaíocht a thug an dá eintiteas sin chomh fada leis na EUIBAnna, agus an raibh sí ag tabhairt aghaidh ar a gcuid riachtanas, agus tá béim á leagan againn ar na cúiseanna is bonn leis na heasnaimh a sainaithníodh.

Tá ENISA ar cheann de na príomhghníomhaithe i réimse na cibearshlándála san Aontas Eorpach, ach is fíorbheagán EUIBA a bhfuil a tacaíocht tagtha chomh fada leo fós

65 I mí an Mheithimh 2019, tháinig an Gníomh um Chibearshlándáil (CSA) i bhfeidhm[28], a tháinig in ionad bhunús dlí ENISA roimhe sin[29], agus tugadh sainordú níos láidre don ghníomhaireacht dá bharr. Go sonrach, foráiltear leis gur cheart do ENISA tacú go gníomhach le Ballstáit agus le EUIBAnna chun an chibearshlándáil a fheabhsú trí acmhainneacht a fhorbairt, comhar oibríochta a fheabhsú agus sineirgí a bhunú. Maidir le forbairt acmhainneachta, tá sainordú ag ENISA anois cuidiú le EUIBAnna “ina n-iarrachtaí feabhas a chur ar chosc, brath, agus anailís i dtaca le bagairtí agus teagmhais chibearshlándála, [...] go háirithe trí thacaíocht chuí i ndáil le CERT-EU”[30]. Ba cheart go gcuideodh ENISA le hinstitiúidí an Aontais straitéisí cibearshlándála AE a fhorbairt agus a athbhreithniú, a scaipeadh a chur chun cinn, chomh maith le dul chun cinn a gcur chun feidhme a rianú.

66 Cé go ndearbhaíonn CSA go soiléir gur cheart do ENISA tacú le EUIBAnna maidir lena chibearshlándáil a fheabhsú, níl aon phleananna gníomhaíochta curtha i gcrích ag ENISA go fóill i ndáil lena chuspóir chun cúnamh a thabhairt do EUIBAnna ar fhorbairt acmhainneachta (féach Bosca 3 le haghaidh mionsonraí).

Bosca 3

Ailíniú neamhdhóthanach idir cuspóir agus aschuir ENISA i ndáil le EUIBAnna

Seo a leanas cuid de thosaíochtaí trí bliana ENISA atá liostaithe i gclár oibre ilbhliantúil 2018-2020 faoi chuspóir 3.2 – “Cuidiú le forbairt acmhainneachta institiúidí an Aontais”:

  • “Comhairle réamhghníomhach a thairiscint d’institiúidí an Aontais maidir lena slándáil líonra agus faisnéise (NIS) a threisiú (Tosaíochtaí a shainaithint do ghníomhaireachtaí agus do chomhlachtaí AE a bhfuil na riachtanais is mó acu maidir le forbairt acmhainneachta NIS trí idirghníomhaíochtaí rialta a bhunú leo (e.g. ceardlanna bliantúla) agus díriú ar na tosaíochtaí sin)”;
  • “Iarracht cabhrú le hinstitiúidí AE agus iad a éascú maidir le cineálacha cur chuige i leith NIS (Comhpháirtíochtaí a dhéanamh le CERT-EU agus le hinstitiúidí a bhfuil cumais láidre NIS acu d’fhonn tacú lena ghníomhartha faoin gcuspóir seo.)”

I gcláir oibre ENISA 2018, 2019 agus 2020, níl ach dhá chuspóir oibríochta (aschuir) faoi chuspóir 3.2:

  • “Rannpháirtíocht i mBord Stiúrtha CERT-EU agus ionadaíocht ghníomhaireachtaí an Aontais a úsáideann an tseirbhís CERT-EU”.
  • “Comhoibriú le comhlachtaí ábhartha AE maidir le tionscnaimh a chuimsíonn gné NIS a bhaineann lena misin (lena n-áirítear EASA, CERT-EU, EDA, EC3)”.

Ní chuimsíonn na cuspóirí oibríochta aon ghníomhaíocht a bhaineann le comhairle réamhghníomhach. Ina theannta sin, níor aistríodh an cuspóir de thosaíochtaí a shainaithint do ghníomhaireachtaí a bhfuil na riachtanais is mó acu ina n-aschuir oibríochta, toisc gur cuireadh ina ionad an cuspóir d’idirchaidreamh a dhéanamh le gníomhaireachtaí chun a gcuid riachtanas a léiriú ar bhord stiúrtha CERT-EU.

67 Is é an bord bainistíochta atá mar phríomhchomhlacht cinnteoireachta ag ENISA, ar a bhfuil comhalta amháin arna cheapadh ag gach ceann de na 27 mBallstát agus dhá chomhalta arna gceapadh ag an gCoimisiún[31] (féach Fíor 6). Tá vóta amháin ag gach comhalta agus déantar cinntí trí vóta tromlaigh[32]. Mar thoradh air sin, is féidir tosaíocht níos airde a thabhairt do ghníomhartha a bhaineann le Ballstáit ná iad siúd do EUIBAnna. Mar shampla, i gclár oibre ENISA 2018, chinn an bord bainistíochta, mar gheall ar easpa acmhainní leordhóthanacha, tosaíocht a thabhairt do ghníomhaíochtaí áirithe agus trí ghníomhaíocht a bhaint, agus ceann acu sin ba ea “tacaíocht do mheasúnú na mbeartas / na nósanna imeachta / na gcleachtas atá ann cheana maidir le NIS laistigh d’institiúidí an Aontais.” Bhí sé i gceist leis an ngníomhaíocht seo ligean do ENISA forléargas a fháil ar chleachtais EUIBAnna agus ar aibíocht tháscach na cibearshlándála, mar bhunús do ghníomhartha spriocdhírithe sa todhchaí.

68 Dá bhrí sin, níor tháinig uaillmhian ENISA maidir le cúnamh réamhghníomhach a sholáthar do EUIBAnna, mar a chuirtear in iúl ina chuspóirí straitéiseacha, chun bheith ina gcuspóirí oibríochta ná ina ngníomhartha nithiúla. Go dtí seo, tá tacaíocht sna réimsí um fhorbairt acmhainneachta agus um chomhair oibríochta, nuair a iarrtar é sin, teoranta do roinnt EUIBA áirithe.

69 Leagtar síos in CSA freisin, chun cabhrú le EUIBAnna le forbairt acmhainneachta, gur cheart do ENISA tacaíocht chuí a sholáthar do CERT-EU. Tráth an iniúchta, bhí an tacaíocht sin teoranta do chúpla gníomh sonrach. Mar shampla, in 2019 rinne ENISA athbhreithniú piaraí ar CERT-EU, i gcomhthéacs a bhallraíochta i líonra CSIRTanna an Aontais (arna bhunú le Treoir NIS).

70 De réir ár bhfreagraí suirbhé, foilsíonn ENISA tuarascálacha agus treoirlínte d’ardchaighdeán ar chibearshlándáil, a mbaineann EUIBAnna úsáid as cuid acu. Mar sin féin, níl aon treoirlínte ar leith ann a dhíríonn ar EUIBAnna agus ar a dtimpeallacht agus a riachtanais féin. Teastaíonn treoir phraiticiúil ó EUIBAnna, go háirithe iad siúd nach bhfuil chomh forbartha ó thaobh cibearshlándála de, ní amháin maidir le “cad” atá le déanamh, ach freisin maidir le “conas” é a dhéanamh. Go dtí seo, tá an tacaíocht sin curtha ar fáil ag ENISA agus CERT-EU ar bhonn teoranta, neamhshistéamach.

71 Reáchtáil ENISA roinnt cúrsaí oiliúna ar chibearshlándáil, a bhí dírithe go príomha ar údaráis de chuid na mBallstát ach ar fhreastail líon teoranta rannpháirtithe ó EUIBAnna air chomh maith. Níor chuir sé ach dhá chúrsa féinfhoghlama ar fáil a bhí dírithe go sonrach ar EUIBAnna. Cuireann ENISA ábhar oiliúna ar líne ar fáil freisin ar a shuíomh gréasáin ar féidir le EUIBAnna rochtain a fháil air, ach go dtí seo ba chúrsaí iad sin go príomha do shaineolaithe teicniúla CSIRT agus, dá bharr sin, níor chuidigh siad le formhór na EUIBAnna.

72 Seachas oiliúint, is féidir le ENISA tacú le EUIBAnna trí chleachtaí cibearshlándála. I mí Dheireadh Fómhair 2020, chabhraigh ENISA le cleachtadh cibearshlándála a reáchtáil do ICTAC i gcomhar le CERT-EU, arb é an t-aon chleachtadh é a d’eagraigh ENISA go sonrach do rannpháirtithe ó EUIBAnna. Seachas sin, chuidigh ENISA le roinnt cleachtaí a eagrú nuair a d’iarr roinnt EUIBAnna (e.g. EU-LISA, EMSA, Parlaimint na hEorpa agus Europol) é sin air, go príomha dá bpáirtithe leasmhara in údaráis na mBallstát, le roinnt ball foirne EUIBA rannpháirteach iontu freisin.

73 Thug CSA ról nua isteach do ENISA freisin chun cuidiú le EUIBAnna ar bhonn deonach lena mbeartais maidir le nochtadh leochaileachta. Mar sin féin, níl aon fhorbhreathnú fós ag ENISA ar bheartais nochtaithe leochaileachta aonair EUIBAnna agus ní chuidíonn sé leo iad sin a bhunú agus a chur chun feidhme.

Déanann a chomhdhamhnaí ardmheastóireacht ar CERT-EU, ach níl a acmhainní intomhaiste i ngeall ar na dúshláin chibearshlándála atá ann faoi láthair

74 Tar éis sraith tionscnamh (féach Fíor 7), i Meán Fómhair 2012, bhunaigh cinneadh ón gCoimisiún[33] an Fhoireann Práinnfhreagartha Ríomhaire (CERT-EU) mar thascfhórsa buan do na EUIBAnna (féach mír 08).

Fíor 7 – Stair CERT-EU

Foinse: Cúirt Iniúchóirí na hEorpa.

75 Cé go bhfuil sé neamhspleách ina chuid oibríochtaí, is tascfhórsa é CERT-EU fós, gan aon phearsantacht dhlíthiúil. Tá sé ar fáil ó thaobh riaracháin de sa Choimisiún Eorpach (AS DIGIT), agus faigheann sé tacaíocht lóistíochta agus riaracháin uaidh. Is é aidhm CERT-EU ná bonneagar TFC na EUIBAnna a dhéanamh níos sábháilte trína gcumas a fheabhsú chun déileáil le cibearbhagairtí agus leochaileachtaí agus cibirionsaithe a chosc, a bhrath agus freagairt dóibh. Tá thart ar 40 ball foirne ag CERT-EU atá eagraithe i bhfoirne speisialtóirí a dhíríonn, mar shampla, ar fhaisnéis maidir le cibearbhagairtí, fóiréinsic dhigiteach agus freagairt do theagmhais.

Is comhpháirtí luachmhar é CERT-EU, agus tá méadú ag teacht ar an ualach oibre atá air

76 Iarrann CERT-EU aiseolas agus moltaí óna chomhchomhlachtaí trí cheardlanna ráithiúla agus cruinnithe déthaobhacha bliantúla agus suirbhéanna sástachta. De réir na suirbhéanna sástachta agus ár suirbhé féin, tá na comhchomhlachtaí sásta den chuid is mó leis na seirbhísí a chuireann CERT-EU ar fáil. Dearbhaíonn éabhlóid chatalóg seirbhíse CERT-EU a iarracht chun oiriúnú do riachtanais EUIBAnna.

77 Cé gur gnách go n-úsáideann EUIBAnna móra a bhfuil cumas suntasach inmheánach acu CERT-EU a úsáid go príomha mar mhol comhroinnte faisnéise agus mar fhoinse faisnéise bagairtí, tá EUIBAnna níos lú ag brath ar CERT-EU le haghaidh réimse níos leithne seirbhísí, mar shampla logaí faireacháin, tástálacha treáite, cleachtaí foirne deirge agus tacaíocht do fhreagairt do theagmhais. Tá seirbhísí CERT-EU thar a bheith luachmhar do EUIBAnna beaga, i ngeall ar an saineolas inmheánach teoranta atá acu agus an easpa barainneachtaí scála atá acu (féach mír 31 agus mír 33).

78 Neartaigh CERT-EU a chumais agus a nósanna imeachta le blianta beaga anuas, i gcoinne méadú suntasach ar bhagairtí agus teagmhais. Tá líon na dtáirgí faisnéise CERT-EU ag dul i méid i gcónaí, go háirithe foláirimh faoi bhagairtí agus meamraim (Fíor 8). In 2020, d’eisigh CERT-EU 171 meamram bagairtí agus 53 foláireamh bagartha (i bhfad níos mó ná an 80 meamram agus 40 foláireamh a raibh súil aige a eisiúint ar dtús).

Fíor 8 – Méadú i dtáirgí faisnéise faoi bhagairtí

Foinse: CIE, bunaithe ar shonraí CERT-EU.

79 Tacaíonn CERT-EU le EUIBAnna freisin maidir le cibirtheagmhais a láimhseáil. Cé go bhfuil foireann freagartha inmheánach, nó comhordaitheoir teagmhais ar a laghad, ag 52 % de EUIBAnna, tá an 48 % eile ag brath ar CERT-EU agus/nó soláthraithe seachtracha eile i gcás teagmhais. Mar sin féin, féadfaidh fiú EUIBAnna móra a bhfuil cumas freagartha intí acu tacaíocht a iarraidh ó CERT-EU chun déileáil le teagmhais chasta.

80 Tháinig méadú ó 561 in 2019 go 884 in 2020 ar líon iomlán na dteagmhas a láimhseáil CERT-EU. Tháinig méadú ar theagmhais shuntasacha, go háirithe, ó díreach ceann amháin in 2018, go 13 in 2020. In 2021, baineadh 17 dteagmhas suntasacha amach, méadú 13 ó 2020 a bhí mar bhliain eisceachtúil cheana féin. De ghnáth bíonn bagairtí an-sofaisticiúla mar thoradh ar na teagmhais shuntasacha seo. Is féidir leo tionchar a imirt ar iliomad EUIBAnna, d’fhéadfadh teagmháil le húdaráis a bheith i gceist leo, agus de ghnáth tógann sé seachtainí suas go míonna oibre ar na páirtithe lena mbaineann agus CERT-EU iad a fhiosrú agus a dhíothú.

81 Is é CERT-EU an príomhsholáthraí freisin maidir le measúnuithe réamhghníomhacha agus tástálacha ar chibearchosaintí EUIBAnna. Cuirtear achoimre ar ghníomhaíochtaí CERT-EU sa réimse seo i láthair i bhFíor 9 thíos. Ina theannta sin, ó 2020 ar aghaidh, déanann CERT-EU scanadh ar líonraí seachtracha freisin.

Fíor 9 – Tástálacha agus measúnuithe déanta ag CERT-EU

Foinse: CIE, bunaithe ar shonraí CERT-EU.

Ní roinneann comhchomhlachtaí faisnéis ábhartha le CERT-EU ar bhealach tráthúil

82 Luaitear in IIA[34] gur cheart do chomhchomhlachtaí fógra a thabhairt do CERT-EU faoi theagmhais shuntasacha cibearshlándála. Mar sin féin, i ndáiríre, níor tharla sé seo i gcónaí. In IIA, ní fhoráiltear do shásra chun tuairisciú éigeantach agus tráthúil a dhéanamh ar theagmhais “shuntasacha” ag comhcomhlachtaí CERT-AE a fhorfheidhmiú. Fágann an sainmhíniú ginearálta ar “theagmhais shuntasacha” in IIA gur faoi na EUIBAnna féin atá sé teagmhas a thuairisciú más mian leo é. De réir bhainistíocht CERT-EU, níor roinn roinnt comhchomhlachtaí faisnéis faoi theagmhais shuntasacha go tráthúil, rud a chuireann bac ar ról CERT-EU mar mhol do mhalartú faisnéise cibearshlándála agus do chomhordú freagartha teagmhas le haghaidh gach EUIBA. Mar shampla, níor chuir comhchomhlacht amháin a raibh bagairt an-sofaisticiúil air an méid sin in iúl do CERT-EU ná níor lorg sé a thacaíocht. Stop sé sin CERT-EU ó fhaisnéis faoi chibearbhagairtí a bhailiú a d’fhéadfadh a bheith úsáideach nuair a bheadh tacaíocht á tabhairt do chomhchomhlachtaí eile a mbeidh an bhagairt chéanna orthu. Bhí tionchar ag an ionsaí seo ar shé EUIBA ar a laghad.

83 Níor roinn comhchomhlachtaí faisnéis thráthúil go gníomhach le CERT-EU faoi bhagairtí agus leochaileachtaí cibearshlándála a théann i bhfeidhm orthu, in ainneoin go gcuireann IIA[35] de cheangal orthu déanamh amhlaidh. Ní bhfuair foireann Dlí-Eolaíochta Digiteach agus Freagra Teagmhas CERT-EU fógraí faoi leochaileachtaí nó easnaimh i rialuithe a aimsíodh lasmuigh de chomhthéacs na dteagmhas atá á n-imscrúdú go gníomhach aici. Ní dhéanann comhchomhlachtaí fionnachtana ábhartha ó iniúchtaí slándála inmheánacha nó seachtracha a roinnt go réamhghníomhach.

84 Ina theannta sin, ní chuireann IIA iallach ar EUIBAnna athruithe suntasacha ina dtimpeallacht TF a thuairisciú do CERT-EU, agus mar thoradh air sin níor chuir comhchomhlachtaí CERT-EU ar an eolas go córasach faoi athruithe ábhartha. Mar shampla, ní chuireann EUIBAnna CERT-EU ar an eolas i gcónaí faoi aon athrú ar a raonta IP (i.e. liosta seoltaí idirlín a mbonneagair). Ní mór do CERT-EU réimsí IP a thabhairt cothrom le dáta, d’fhonn scagadh a dhéanamh nuair a aimsítear leochaileachtaí móra, mar shampla. Bíonn tionchar ag mainneachtain EUIBAnna ar CERT-EU a chur ar an eolas faoi athruithe den sórt sin ar a chumas tacú leo. Bíonn tionchar ag mainneachtain fógra a thabhairt do CERT-EU freisin ar a chumas faireachán a dhéanamh ar chórais agus bíonn níos mó oibre mar thoradh air chun sonraí míchruinne sna huirlisí faireacháin a cheartú. De réir a bhainistíochta, aimsíonn CERT-EU bonneagar TF nach raibh ar eolas roimhe seo agus é ag déileáil le teagmhas. Thairis sin, seachas cásanna sonracha, níl aon fhorléargas cuimsitheach ag CERT-EU faoi láthair ar chórais agus líonraí TF phobal EUIBA.

85 In éagmais aon sásra forfheidhmithe in IIA, beidh fógraí ó EUIBAnna chuig CERT-EU – gné riachtanach chun pobal cibearullmhachta atá dírithe ar CERT-EU a chruthú sna EUIBAnna – á seoladh ar shlí neamh-chórasach.

Tá aimsiú acmhainní do CERT-EU éagobhsaí agus níl sé ar cóimhéid leis an leibhéal bagartha atá ann faoi láthair

86 Luaitear in IIA[36] “gur cheart maoiniú agus leibhéal foirne inbhuanaithe a sholáthar do CERT-EU, agus fós luach ar airgead agus croí-líon leordhóthanach d’fhoireann bhuan á chinntiú ag an am céanna”. Is í an tsócmhainn is tábhachtaí atá ag CERT-EU ná a fhoireann speisialaithe ardoilte. Léirítear i bhFíor 10 an t-athrú ar na leibhéil foirne ag CERT-EU ó bunaíodh é in 2011 go dtí an lá atá inniu ann.

87 Tá conarthaí sealadacha ag níos mó ná dhá thrian de bhaill foirne CERT-AE. Níl a dtuarastal an-iomaíoch ó thaobh an mhargaidh de do shaineolaithe cibearshlándála, agus de réir bhainistíocht CERT-EU, tá sé ag éirí níos deacra iad a fhostú agus a choinneáil. Nuair nach bhfuil tuarastail sách tarraingteach d’iarrthóirí sinsearacha, caithfidh CERT-EU baill foirne sóisearaí a fhostú agus am a infheistiú chun iad a chur faoi oiliúint. Ina theannta sin, tá tréimhse sé bliana ar a mhéad ag conarthaí, rud a chiallaíonn nach bhfuil aon rogha ag CERT-EU ach ligean le daoine atá fostaithe ar chonradh nuair atá siad ag buaic a gcuid saineolais. Bhí ráta athraithe foirne an-ard in 2020: d’fhág 21 % den fhoireann CERT-EU agus ní fhéadfaí duine eile a earcú le teacht in ionad gach duine a d’imigh. Maidir le blianta roimhe seo, d’imigh 9 % den fhoireann in 2019 agus 13 % in 2018.

Fíor 10 - Achmhainní agus dúshláin CERT-EU

Foinse: CIE, bunaithe ar shonraí ó CERT-EU.

88 Chuir bainistíocht CERT-EU i bhfios go láidir go mbíonn róbhrú go hiondúil ar an bhfoireann Dlí-Eolaíochta Digití agus Freagartha do Theagmhais in CERT-EU i láthair na huaire, agus nach féidir leis na foirne eile atá ann coinneáil suas leis an éileamh. Mar thoradh air sin, b’éigean do CERT-EU a ghníomhaíochtaí a laghdú. Mar shampla, ní dhéanann CERT-EU measúnuithe aibíochta ar a chomhchomhlachtaí faoi láthair, mar gheall ar easpa acmhainní. Chuaigh seirbhís “rabhaidh i dtaobh gníomhaíocht amhrasach” CERT-EU i mbun táirgeachta níos déanaí ná mar a bhíothas ag súil leis, arís mar gheall ar ghanntanas acmhainní. Ina theannta sin, rinne roinnt comhchomhlachtaí ar chuireamar agallamh orthu trácht ar an bhfad a bhí orthu fanacht chun rochtain a fháil ar sheirbhísí CERT-EU.

89 Go dtí seo, de bharr srianta acmhainní, b’éigean do CERT-EU díriú go háirithe ar bhonneagar TF traidisiúnta “san áitreamh” a chosaint ar bhagairtí móra ó ghrúpaí (a dtacaíonn an stát-tír leo go hiondúil) atá ina n-ardbhagairtí seasmhacha. De réir a bhainistithe, áfach, tá gá le faireachán agus cosaint níos fearr ar imlíne TF leathnaithe de chuid EUIBAnna (lena n-áirítear an néal, gléasanna móibíleacha agus uirlisí teilea-oibre anois), agus ní mór aird níos mó a thabhairt ar bhagairtí ar leibhéal níos ísle (amhail an chibearchoireacht agus bogearraí éirice).

90 Ní dhéantar foráil in IIA go mbeidh cumas oibríochta ag CERT-EU lá agus oíche, seacht lá na seachtaine. Faoi láthair, níl na hacmhainní ná an creat Acmhainní Daonna ag CERT-EU oibriú níos faide ná uaireanta oibre ar bhonn buan agus struchtúrtha, cé nach gcloíonn ionsaithe cibearshlándála leis na huaireanta sin. Maidir leis na EUIBAnna féin, níl ach 35 den 65 EUIBA a ndearnadh suirbhé orthu a bhfuil oifigeach TF acu a bhfuil teacht air nó uirthi lasmuigh d’uaireanta oibre.

91 Chun oibríochtaí CERT-EU a mhaoiniú, cheadaigh an bord stiúrtha in 2012 samhail comhaontú leibhéal seirbhíse (SLA). Faigheann gach comhchomhlacht seirbhísí lárnacha saor in aisce agus is féidir leo íoc chun seirbhísí sínte a fháil, trí SLA a shíniú. B’ionann buiséad 2020 CERT-EU agus €3 745 000 agus maoiníodh 6 % de sin ó Bhuiséad an Aontais agus 94 % ó SLAnna. Mar sin féin, tá comhábhair an-ilchineálach: tá riachtanais aibí slándála TF ag cuid acu agus tá buiséid mheasartha TF ag cuid eile agus leibhéal an-íseal aibíochta cibearshlándála. Mar gheall air seo, tá teaglaim d’ardriachtanais slándála do roinnt EUIBAnna mar thoradh ar phlé SLA agus easpa toilteanach nó cumas cur leis ón gcuid eile.

92 Thairis sin, caithfear SLAnna a athnuachan ina n-aonar gach bliain. Chomh maith le bheith ina ualach riaracháin, cruthaíonn sé seo fadhbanna sreafa airgid, toisc nach bhfuil cistí ag CERT-EU ag teacht isteach ag an am céanna ó gach SLA. Ina theannta sin, is féidir le gníomhaireachtaí SLAnna a fhoirceannadh tráth ar bith. Tá an baol ann go dtosóidh sé fáinne fí ina gcaithfidh CERT-EU, mar gheall ar ioncam caillte, a sheirbhísí a laghdú agus nach féidir leis coinneáil suas leis an éileamh, agus ar a uain ag spreagadh EUIBAnna eile a gcuid CLSanna a fhoirceannadh agus bogadh chuig soláthraithe príobháideacha. I bhfianaise na mbreithnithe seo, níl an tsamhail mhaoinithe reatha oiriúnach chun leibhéal seirbhíse seasmhach agus barrmhaith a chinntiú.

93 D’fhormhuinigh Bord Stiúrtha CERT-EU togra straitéiseach chun seirbhísí chibearshlándáil CERT-EU a leathnú agus “lánchumais oibríochtúla” a fhorbairt ag an gcruinniú a bhí aige an 19 Feabhra 2020. Is éard is cúis leis sin ná timpeallacht bagartha cibearshlándála atá ag teacht chun cinn go tapa le déanaí (féach mír 06 agus mír 80). Bhí anailís ar riachtanais foirne agus maoinithe CERT-EU ag gabháil leis an togra. Ba é tátal na hanailíse seo go mbeadh 14 phost breise le haghaidh riarthóirí buana ag teastáil ó CERT-EU, a thabharfaí isteach de réir a chéile sa tréimhse 2021-2023. Ansin d’oibreodh CERT-EU ag a lánacmhainneacht ó 2023 ar aghaidh. De réir an togra seo, i dtéarmaí maoinithe, bheadh ar CERT-EU a bhuiséad a mhéadú €7.6 milliún i rith thréimhse 2021-2023 go dtí go mbeadh sé ag €11.3 milliún faoi 2024.

94 In ainneoin gur thacaigh na EUIBAnna leis an togra straitéiseach maidir le hacmhainní breise a sholáthar do CERT-EU, áfach, níor tháinig siad ar chomhaontú fós maidir le módúlachtaí praiticiúla. Ar an gcéad dul síos, níl comhaontú ann don idirthréimhse 2021-2023, agus anuas air sin, is amhlaidh an cás go fadtéarmach don tréimhse tar éis don rialachán beartaithe maidir leis an gcibearshlándáil teacht i bhfeidhm (féach mír 12).

Conclúidí agus moltaí

95 Táimid den tuairim nach bhfuil leibhéal cibearullmhachta bainte amach ag institiúidí, comhlachtaí agus gníomhaireachtaí an Aontais Eorpaigh (EUIBA) atá ar cóimhéid leis na bagairtí. Taispeánann ár gcuid oibre go bhfuil leibhéil éagsúla aibíochta cibearshlándála ag EUIBAnna, agus ós rud é go mbíonn siad idirnasctha go minic lena chéile agus le heagraíochtaí poiblí agus príobháideacha sna Ballstáit, is féidir le laigí in EUIBA amháin cibearbhagairtí a nochtadh d’eagraíochtaí eile.

96 Fuaireamar amach nár cuireadh dea-chleachtais tábhachta cibearshlándála i bhfeidhm i gcónaí, lena n-áirítear roinnt rialuithe riachtanacha. Tá rialachas fónta cibearshlándála riachtanach do shlándáil na gcóras faisnéise agus TF, ach níl sé i bhfeidhm fós i roinnt EUIBAnna: ina lán cásanna bíonn straitéisí slándála TF agus pleananna in easnamh nó níl an bhainistíocht shinsearach ag tacú leo; ní dhéantar beartais slándála a fhoirmiú go foirmiúil i gcónaí; agus ní chlúdaíonn measúnuithe riosca an timpeallacht TF uile. Tá caiteachas cibearshlándála míchothrom agus is léir nach bhfuil cuid de na EUIBAanna ag caitheamh a ndóthain airgid i gcomparáid le piaraí den mhéid chéanna (féach míreanna 21-33 agus 37-38).

97 Tá cláir chibirfheasachta agus oiliúna ina bpríomhghné de chreat éifeachtach um chibearshlándáil. Mar sin féin, ní sholáthraíonn ach 29 % de EUIBAnna oiliúint éigeantach chibearshlándála do bhainisteoirí atá freagrach as córais TF ina bhfuil faisnéis íogair, agus is minic a bhíonn an oiliúint a chuirtear ar fáil neamhfhoirmiúil. Le cúig bliana anuas, tá feachtas fioscaireachta ionsamhailte (nó cleachtaí comhchosúla) amháin nó níos mó eagraithe ag 55 % de na EUIBAnna. Is uirlisí tábhachtacha iad na cleachtaí sin chun oiliúint a chur ar bhaill foirne agus chun feasacht a ardú, ach ní úsáideann EUIBAnna go córasach iad (féach míreanna 34-36). Ina theannta sin, níl a rialacha cibearshlándála ag gach EUIBA faoi réir dearbhú neamhspleách (féach míreanna 39-44).

98 Tá meas mór ag na EUIBAnna ar CERT-EU atá ag fónamh dóibh, ach tá brú rómhór ar acmhainneacht CERT-EU. Tá a ualach oibre, i dtéarmaí faisnéis faoi bhagairtí agus láimhseáil teagmhas, ag fás go tapa ó 2018. Tá méadú os cionn a dheich n-oiread tagtha ar theagmhais shuntasacha cibearshlándála. Ag an am céanna, ní dhéanann EUIBAnna faisnéis thráthúil a roinnt i gcónaí faoi theagmhais shuntasacha, leochaileachtaí agus athruithe tábhachtacha ina mbonneagar TF. Cuireann sé sin isteach ar éifeachtúlacht CERT-EU, rud a chuirfeadh cosc air rabhadh a thabhairt do EUIBAnna eile agus d’fhéadfadh sé go mbeadh teagmhais shuntasacha ann nach mbeifí in ann a bhrath. Ina theannta sin, tá acmhainní CERT-EU éagobhsaí agus faoi láthair níl siad ar cóimhéid leis an leibhéal bagartha reatha nó le riachtanais na EUIBAnna. Thacaigh bord stiúrtha CERT-EU le togra straitéiseach maidir le soláthar na n-acmhainní breise a theastaíonn ó CERT-EU in 2020, ach níor tháinig na comhchomhlachtaí ar chomhaontú go fóill maidir leis na rialacha mionsonraithe praiticiúla chun acmhainní den sórt sin a sholáthar. Mar thoradh air sin, ní féidir le foireann CERT-EU coinneáil suas leis an éileamh agus bíonn orthu gníomhaíochtaí a chúlú siar (féach míreanna 74-93).

Moladh 1 – Ullmhacht chibearshlándála gach EUIBA a fheabhsú trí rialacha ceangailteacha comhchoiteanna agus acmhainní breise do CERT-EU

Ba cheart don Choimisiún na prionsabail seo a leanas a áireamh ina thogra atá le teacht le haghaidh rialachán maidir le bearta d’ardchaighdeán comhchoiteann ar chibearshlándáil i ngach EUIBA:

  1. Ba cheart go mbeadh an fhreagracht as rialachas cibearshlándála ar an mbainistíocht shinsearach trí straitéisí cibearshlándála agus príomhbheartais slándála a fhormhuiniú agus trí Phríomhoifigeach Slándála Faisnéise (nó ról coibhéiseach) neamhspleách a cheapadh;
  2. Ba cheart go mbeadh creat bainistíochta riosca slándála TF ag EUIBAnna a chlúdódh a mbonneagar TF ina iomláine agus a dhéanfadh measúnuithe riosca rialta;
  3. Ba cheart do EUIBAnna oiliúint feasachta chórasach a sholáthar don fhoireann uile, lena n-áirítear an bhainistíocht;
  4. Ba cheart do EUIBAnna iniúchtaí agus tástálacha rialta ar a gcibearchosaintí a chinntiú. Ba cheart go n-áireofaí sna hiniúchtaí leordhóthanacht na n-acmhainní atá tiomnaithe don chibearshlándáil;
  5. Ba cheart do EUIBAnna tuairisc a thabhairt, gan mhoill, do CERT-EU ar theagmhais shuntasacha chibearshlándála agus ar athruithe agus leochaileachtaí ábhartha maidir lena mbonneagar TF;
  6. Ba cheart do EUIBAnna a n-acmhainní buiséid arna leithdháileadh ar CERT-EU a mhéadú agus a fheabhsú i gcomhréir leis na riachtanais a shainaithnítear sa togra straitéiseach a d’fhormhuinigh a bhord stiúrtha;
  7. Ba cheart go n-áireofaí sa rialachán forálacha maidir le heintiteas a cheapadh, a bheidh ionadaíoch ar gach EUIBA, a bhfuil an sainordú agus na hacmhainní iomchuí aige chun faireachán a dhéanamh ar chomhlíonadh gach EUIBA leis na rialacha comhchoiteanna cibearshlándála agus chun treoir, moltaí agus glaonna ar ghníomhaíochtaí a eisiúint.

Spriocdháta cur chun feidhme: R1 2023

99 Tá sásraí bunaithe ag EUIBAnna le haghaidh comhar i réimse na cibearshlándála, ach thugamar faoi deara nach mbaintear leas iomlán as sineirgí féideartha. Tá struchtúr foirmiúil ann maidir le malartú faisnéise, agus tá róil chomhlántacha ag gníomhaithe agus ag coistí. Mar sin féin, cuirtear bac ar acmhainní teoranta a bheith ag EUIBAnna beaga i bhfóraim idirinstitiúideacha, agus ní hé an t-ionadaíocht is fearr is féidir atá ag gníomhaireachtaí díláraithe agus ag comhghnóthais ar bhord stiúrtha CERT-EU. Fuaireamar freisin nach roinneann EUIBAnna go córasach i measc a chéile faisnéis faoi thionscadail a bhaineann le cibearshlándáil, measúnuithe slándála agus conarthaí seirbhíse eile. D’fhéadfadh dúbailt na n-iarrachtaí agus costais atá méadaithe a bheith ann dá bharr. Thugamar faoi deara go ndearnadh deacrachtaí oibríochtúla i ndáil le faisnéis íogair nach bhfuil rúnaicmithe a mhalartú trí ríomhphost criptithe nó trí fhíschomhdháil. Tharla na deacrachtaí oibríochtúla sin mar gheall ar easpa idir-inoibritheachta sna réitigh TF, na treoirlínte maidir lena n-úsáid gan a bheith comhsheasmhach, agus an easpa rialacha comhchoiteanna maidir le marcáil agus láimhseáil faisnéise (féach míreanna 45-63).

Moladh 2 – Abhcóideacht a dhéanamh ar son tuilleadh sineirgí i measc EUIBAnna i réimsí roghnaithe

Ba cheart don Choimisiún, i gcomhthéacs an Choiste Idirinstitiúidigh um Chlaochlú Digiteach, na gníomhartha seo a leanas a chur chun cinn i measc EUIBAnna:

  1. réitigh le haghaidh idir-inoibritheacht bealaí slána cumarsáide ó ríomhphost criptithe go físchomhdháil a ghlacadh, agus marcanna comhchoiteanna agus rialacha coiteanna láimhseála d’fhaisnéis íogair nach bhfuil rúnaicmithe a chur chun cinn;
  2. faisnéis faoi thionscadail a bhaineann le cibearshlándáil a bhféadfadh tionchar idirinstitiúideach ionchasach a bheith acu a roinnt go córasach, mar aon le faisnéis faoi mheasúnuithe slándála a dhéantar ar bhogearraí agus faoi chonarthaí atá i bhfeidhm le soláthraithe seachtracha; agus
  3. sonraíochtaí a shainiú le haghaidh comhchonarthaí soláthair agus le haghaidh creatchonarthaí do sheirbhísí cibearshlándála inar féidir le gach EUIBA páirt a ghlacadh chun barainneachtaí scála a chothú.

Spriocdháta cur chun feidhme: R4 2023

100 Is iad Gníomhaireacht an Aontais Eorpaigh um Chibearshlándáil (ENISA) agus CERT-EU an dá phríomheintiteas a bhfuil sé de chúram orthu tacú le EUIBAnna ó thaobh na cibearshlándála de. Mar sin féin, i ngeall ar shrianta acmhainní agus tosaíocht a bheith á tabhairt do réimsí eile, ní rabhadar in ann an tacaíocht ar fad atá de dhíth orthu a sholáthar do EUIBAnna, go háirithe i ndáil le forbairt acmhainneachta le haghaidh EUIBAnna nach bhfuil chomh haibí sa chibearshlándáil (féach míreanna 64-93).

Moladh 3 – Méadú a chur ar an bhFócas ag CERT-EU agus ag ENISA ar EUIBAnna nach bhfuil chomh aibí

Ba cheart do CERT-EU agus ENISA:

  1. réimsí tosaíochta a shainaithint ina dteastaíonn an tacaíocht is mó ó EUIBAnna, mar shampla trí mheasúnuithe aibíochta;
  2. gníomhaíochtaí um fhorbairt acmhainneachta a chur chun feidhme, ar aon dul lena Meabhrán Tuisceana.

Spriocdháta cur chun feidhme: R4 2022

Ghlac Seomra III, faoi cheannas Bettina Jakobsen, Comhalta den Chúirt Iniúchóirí, an Tuarascáil seo i Lucsamburg an 22 Feabhra 2022.

 

Thar ceann na Cúirte Iniúchóirí

Klaus-Heiner Lehne
Uachtarán

Iarscríbhinní

Iarscríbhinn I – Liosta EUIBAnna sa suirbhé

Ainm EUIBA Cineál
Parlaimint na hEorpa (PE) Institiúid (Airt. 13(1) CAE)
Comhairle an Aontais Eorpaigh & an Chomhairle Eorpach (an Ardrúnaíocht/GSC) Institiúid (Airt. 13(1) CAE)
An Coimisiún Eorpach (CE) Institiúid (Airt. 13(1) CAE)
Cúirt Bhreithiúnais an Aontais Eorpaigh (CBAE) Institiúid (Airt. 13(1) CAE)
An Banc Ceannais Eorpach (BCE) Institiúid (Airt. 13(1) CAE)
Cúirt Iniúchóirí na hEorpa (CIE) Institiúid (Airt. 13(1) CAE)
An tSeirbhís Eorpach Gníomhaíochta Seachtraí (SEGS) Comhlacht (Airt. 27(3) CAE)
Coiste Eacnamaíoch agus Sóisialta na hEorpa (CESE) & Coiste Eorpach na Réigiún (CnaR)[37] Comhlachtaí (Airt 13(4) CAE)
An Banc Eorpach Infheistíochta (BIE) Comhlacht (Airt. 308 CFAE)
An tÚdarás Eorpach Saothair (ELA) Gníomhaireacht dhíláraithe
Gníomhaireacht an Aontais Eorpaigh um Chomhar idir Rialálaithe Fuinnimh (ACER) Gníomhaireacht dhíláraithe
Comhlacht na Rialálaithe Eorpacha um Chumarsáid Leictreonach (BEREC) Gníomhaireacht dhíláraithe
An Oifig Chomhphobail um Chineálacha Plandaí (CPVO) Gníomhaireacht dhíláraithe
An Ghníomhaireacht Eorpach um Shábháilteacht agus Sláinte ag an Obair (EU-OSHA) Gníomhaireacht dhíláraithe
An Ghníomhaireacht Eorpach um an nGarda Teorann agus Cósta (Frontex) Gníomhaireacht dhíláraithe
Gníomhaireacht an Aontais Eorpaigh chun Bainistiú Oibríochtúil a dhéanamh ar Chórais Mhórscála TF sa Limistéar Saoirse, Slándála agus Ceartais (eu-LISA) Gníomhaireacht dhíláraithe
Gníomhaireacht an Aontais Eorpaigh um Thearmann (EUAA) Gníomhaireacht dhíláraithe
Gníomhaireacht Sábháilteachta Eitlíochta an Aontais Eorpaigh (EASA) Gníomhaireacht dhíláraithe
An tÚdarás Baincéireachta Eorpach (ÚBE) Gníomhaireacht dhíláraithe
An Lárionad Eorpach um Ghalair a Chosc agus a Rialú (ECDC) Gníomhaireacht dhíláraithe
An Lárionad Eorpach um Fhorbairt na Gairmoiliúna (Cedefop) Gníomhaireacht dhíláraithe
An Ghníomhaireacht Eorpach Ceimiceán (ECHA) Gníomhaireacht dhíláraithe
An Ghníomhaireacht Eorpach Chomhshaoil (EEA) Gníomhaireacht dhíláraithe
An Ghníomhaireacht Eorpach um Rialú ar Iascach (EFCA) Gníomhaireacht dhíláraithe
An tÚdarás Eorpach um Shábháilteacht Bia (EFSA) Gníomhaireacht dhíláraithe
An Foras Eorpach chun Dálaí Maireachtála agus Oibre a Fheabhsú (Eurofound) Gníomhaireacht dhíláraithe
Gníomhaireacht an Aontais Eorpaigh um an gClár Spáis [le teacht in áit: Gníomhaireacht Eorpach GNSS - GSA] (EUSPA) Gníomhaireacht dhíláraithe
An Institiúid Eorpach um Chomhionannas Inscne (EIGE) Gníomhaireacht dhíláraithe
An tÚdarás Eorpach um Árachas agus Pinsin Cheirde (EIOPA) Gníomhaireacht dhíláraithe
An Ghníomhaireacht Eorpach um Shábháilteacht Mhuirí (EMSA) Gníomhaireacht dhíláraithe
An Ghníomhaireacht Leigheasra Eorpach (EMA) Gníomhaireacht dhíláraithe
An Lárionad Faireacháin Eorpach um Dhrugaí agus um Andúil i nDrugaí (EMCDDA) Gníomhaireacht dhíláraithe
Gníomhaireacht an Aontais Eorpaigh um Chibearshlándáil (ENISA) Gníomhaireacht dhíláraithe
Gníomhaireacht an Aontais Eorpaigh i ndáil le Comhar i bhForfheidhmiú an Dlí (CEPOL) Gníomhaireacht dhíláraithe
Europol Gníomhaireacht dhíláraithe
Gníomhaireacht Iarnróid an Aontais Eorpaigh (ERA) Gníomhaireacht dhíláraithe
An tÚdarás Eorpach um Urrúis agus Margaí (ESMA) Gníomhaireacht dhíláraithe
An Fhondúireacht Eorpach Oiliúna (ETF) Gníomhaireacht dhíláraithe
Gníomhaireacht an Aontais Eorpaigh um Chearta Bunúsacha (FRA) Gníomhaireacht dhíláraithe
Oifig Maoine Intleachtúla an Aontais Eorpaigh [nó OHIM mar a bhí air go dtí an 23 Márta 2016] (EUIPO) Gníomhaireacht dhíláraithe
An Bord Réitigh Aonair (SRB) Gníomhaireacht dhíláraithe
Gníomhaireacht an Aontais Eorpaigh um Chomhar Ceartais Choiriúil (Eurojust) Gníomhaireacht dhíláraithe
Ionad Aistriúcháin Chomhlachtaí an Aontais Eorpaigh (CdT) Gníomhaireacht dhíláraithe
Oifig an Ionchúisitheora Phoiblí Eorpaigh (OIPE) Gníomhaireacht dhíláraithe
An Institiúid Eorpach um Nuálaíocht agus Teicneolaíocht (EIT) Comhlacht cruthaithe faoi T&F
An Comhghnóthas Taighde um Bainistíocht Aerthráchta maidir leis an Aerspás Eorpach Aonair (SESAR) Comhghnóthas faoi CFAE
An Comhghnóthas Comhpháirteanna agus Córais Leictreonacha le haghaidh Ceannaireacht Eorpach (ECSEL) Comhghnóthas faoi CFAE
Comhghnóthas um Chealla Breosla agus um Hidrigin 2 (FCH2) Comhghnóthas faoi CFAE
An Comhghnóthas maidir leis an Tionscnamh um Míochaine Nuálaíoch 2 (IMI2) Comhghnóthas faoi CFAE
Comhghnóthas "Spéir Ghlan” 2 (Cleansky 2) Comhghnóthas faoi CFAE
An Comhghnóthas um Thionscail Bhithbhunacha (BBI) Comhghnóthas faoi CFAE
Comhghnóthas Teicneolaíochta Shift2Rail (S2R) Comhghnóthas faoi CFAE
Comhghnóthas Ríomhaireachta Ardfheidhmíochta Eorpach (EuroHPC) Comhghnóthas faoi CFAE
An Comhghnóthas Eorpach um ITER - Fuinneamh Comhleá (F4E) Comhghnóthas faoi CFAE
Misean Comhairleach an Aontais Eorpaigh san Úcráin (EUAM Ukraine) Misean Sibhialtach (CSDP)
Misean Comhairleach Teorann an Aontais Eorpaigh – An Libia (EUBAM Libya) Misean Sibhialtach (CSDP)
Misean an Aontais Eorpaigh um Fhorbairt Acmhainneachta sa Nígir (EUCAP Sahel Niger) Misean Sibhialtach (CSDP)
Misean Faireacháin an Aontais Eorpaigh sa tSeoirsia (EUMM Georgia) Misean Sibhialtach (CSDP)
Misean Póilíneachta an Aontais Eorpaigh do na Críocha Palaistíneacha (EUPOL COPPS) Misean Sibhialtach (CSDP)
Misean Comhairleach an Aontais Eorpaigh i bPoblacht na hAfraice Láir (EUAM Central-African Republic) Misean Sibhialtach (CSDP)
Misean Comhairleach an Aontais Eorpaigh chun na hIaráice (EUAM Iraq) Misean Sibhialtach (CSDP)
Misean Cúnaimh Teorann an Aontais Eorpaigh ag Pointe Trasnaithe Rafah (EUBAM Rafah) Misean Sibhialtach (CSDP)
Misean an Aontais Eorpaigh um Fhorbairt Acmhainneachta i Mailí (EUCAP Sahel Maili) Misean Sibhialtach (CSDP)
Misean an Aontais Eorpaigh um Fhorbairt Acmhainneachta sa tSomáil (EUCAP Somalia) Misean Sibhialtach (CSDP)
Misean an Smachta Reachta de chuid AE sa Chosaiv (EULEX Kosovo) Misean Sibhialtach (CSDP)

Iarscríbhinn II – Faisnéis bhreise maidir leis na príomhchoistí idirinstitiúideacha

An Coiste Idirinstitiúideach um Chlaochlú Digiteach (ICDT)

Is fóram é ICDT chun faisnéis a mhalartú agus chun comhar a chothú in TF. Bunaíodh é i mBealtaine 2020, in ionad an “Comité Interinstitutionnel de l’Informatique” (CII) a bhí ann roimhe sin. Bainisteoirí ranna TF in EUIBAnna atá ar ICDT. Tá foghrúpa cibearshlándála (ICDT CSSG) ag ICDT arb é an ról atá aige comhar a chur chun cinn idir EUIBAnna ar chibearshlándáil, agus a fheidhmíonn mar fhóram chun faisnéis a mhalartú.

Tá cumhacht cinnteoireachta ICDT teoranta do shaincheisteanna nach ndéanann difear don “chaoi a ndéanann na hinstitiúidí a misean a bhaint amach” agus nach “gcuireann isteach ar rialachas laistigh de gach institiúid”. I gcás cinntí a théann thar a shainchúram, féadfaidh ICDT moltaí a dhéanamh le coláiste ardrúnaithe institiúidí agus chomhlachtaí an Aontais.

De réir shainordú ICDT, is ionadaithe ó gach institiúid agus comhlacht de chuid an Aontais Eorpaigh comhaltaí an Choiste, agus ionadaí amháin arna ainmniú ag gníomhaireachtaí an Aontais (ICTAC). Tá Ard-Rúnaíocht na Comhairle ina cathaoirleach ar ICDT faoi láthair.

Foghrúpa cibearshlándála ICDT (ICDT CSSG)

Bunaíodh ICDT CSSG ina chumraíocht reatha i Meán Fómhair 2020, in ionad fhoghrúpa slándála buan CII a bhí ann roimhe sin. I gcomparáid lena réamhtheachtaí, tá cur chuige níos struchtúrtha, uaillmhianaí agus dírithe ar thorthaí ag CSSG ICDT. Is tascfhórsaí (TFanna) a dhéanann na gníomhaíochtaí agus bíonn cruinnithe rialta agus iad ag díriú isteach ar phríomhcheisteanna coiteanna:

  • TF1 – “Comhchaighdeáin, tagarmharcáil agus aibíocht”
  • TF2 – “Modhanna agus uirlisí agus conarthaí ardáin a roinnt”
  • TF3 – “Slándáil néil”
  • TF4 – “Forbairt tallainne cibirscileanna”
  • TF5 – “Cibirfheasacht”
  • TF6 – "Slándáil físchomhdhálacha"

De réir shainordú CSSG, tá a rúnaíocht freagrach as faireachán agus tuairisciú rialta a dhéanamh ar dhul chun cinn ghníomhaíochtaí na dtascfhórsaí. Cuireann sé tuarascálacha rialta ar fáil do chathaoirleach agus do leas-chathaoirleach fhoghrúpa cibearshlándála ICDT, agus bailíonn sé ionchur go rialta ó chomhordaitheoirí an tascfhórsa. Ag deireadh gach bliana, is gá do CSSG tuarascáil achomair ar ghníomhaíochtaí a chur i láthair freisin.

Tá an Coimisiún ina chathaoirleach ar CSSG ICDT faoi láthair, le hionadaí ICTAC mar leaschathaoirleach. Cé nach bhfuil aon chumhacht cinnteoireachta ag CSSG, is féidir leis cinntí a mholadh maidir le saincheisteanna ábhartha do ICDT.

Líonra Gníomhaireachtaí

Is líonra neamhfhoirmiúil é Líonra Gníomhaireachtaí an Aontais Eorpaigh (EUAN) a bhunaigh Cinn Ghníomhaireachtaí an Aontais in 2012. Faoi láthair tá EUAN comhdhéanta de 48 ngníomhaireacht dhíláraithe AE agus Comhghnóthais. Is í an aidhm atá leis ná ardán a sholáthar le haghaidh malartaithe agus comhair do bhaill an Líonra ar réimsí leasa choitinn. Is é an Coiste Comhairleach TFC (ICTAC) an foghrúpa de chuid EUAN atá i gceannas ar chomhar a chur chun cinn i réimse TFC, lena n-áirítear sa chibearshlándáil.

An Coiste Comhairleach um Theicneolaíochtaí Faisnéise agus Cumarsáide (ICTAC)

Cuireann an ICTAC comhar chun cinn i measc na ngníomhaireachtaí agus na gcomhghnóthas i réimse TFC. Tá sé mar aidhm aige réitigh inmharthana agus eacnamaíocha a fháil ar fhadhbanna coiteanna, faisnéis a mhalartú agus seasaimh chomhchoiteanna a ghlacadh, nuair is iomchuí. De réir théarmaí tagartha ICTAC, tionóltar cruinnithe ginearálta ina dtugtar le chéile na comhaltaí uile faoi dhó sa bhliain. Bíonn cruinnithe míosúla rialta ann freisin idir ionadaithe ICTAC ar Thascfhórsaí CSSG, ionadaí ICTAC ar CSSG agus “Triúracht” ICTAC. Is éard atá sa Triúracht ná Cathaoirleach reatha ICTAC, an cathaoirleacht a bhí ann díreach roimhe seo agus an chéad chathaoirleach eile a bheidh ann (feidhmíonn gach Cathaoirleach ar feadh tréimhse bliana amháin). Is é ról na Triúrachta ná tacú leis an gCathaoirleach reatha ar gach ábhar a bhaineann lena ról, lena n-áirítear seasamh isteach ina ionad nó ina hionad, más gá.

Acrainmneacha agus giorrúcháin

APT: Ardbhagairt Sheasmhach

AS DIGIT: Ard-Stiúrthóireacht na Faisnéisíochta

AS HR: An Ard-Stiúrthóireacht um Acmhainní Daonna agus um Shlándáil

CERT-EU: Foireann Phráinnfhreagartha Ríomhaire EUIBAnna

CIS: Córais Chumarsáide agus Faisnéise

CISO: Príomhoifigeach Slándála Faisnéise

CSA: An tAcht um Chibearshlándáil

CSIRT: Foirne Freagartha do Theagmhais a bhaineann le Slándáil Ríomhairí

ENISA: Gníomhaireacht an Aontais Eorpaigh um Chibearshlándáil

EUAN: Líonra Gníomhaireachtaí an Aontais Eorpaigh

EUIBAnna: Institiúidí, Comhlachtaí agus Gníomhaireachtaí an Aontais Eorpaigh

EU-LISA: An Ghníomhaireacht Eorpach um Bainistiú Oibríochtúil a dhéanamh ar Chórais mhórscála TF sa limistéar saoirse, slándála agus ceartais

FTE: Coibhéis Lánaimseartha

ICDT CSSG: Fo-Ghrúpa Cibearshlándála den Choiste Idirinstitiúideach um Chlaochlú Digiteach

ICDT: An Coiste Idirinstitiúideach um Chlaochlú Digiteach

ICTAC: An Coiste Comhairleach um Theicneolaíochtaí Faisnéise agus Cumarsáide

IIA: Comhaontú Idirinstitiúideach

ISACA: Cumann Iniúchta agus Rialaithe Córas Faisnéise

ITCB: Teicneolaíocht Faisnéise agus Bord Cibearshlándála

MoU: Meabhrán Tuisceana

NIS: Slándáil Líonra agus Faisnéise

SLA: Comhaontú ar Leibhéal Seirbhíse

TFC: Teicneolaíocht Faisnéise agus Cumarsáide

Gluais

Ardbhagairt Sheasmhach: Ionsaí ina bhfaigheann úsáideoir neamhúdaraithe rochtain ar chóras nó ar líonra d’fhonn sonraí íogaire a ghoid, agus a fhanann ann ar feadh tréimhse fada.

Cibearshlándáil: Bearta chun líonraí agus bonneagar TF, agus an fhaisnéis atá iontu, a chosaint ar bhagairtí seachtracha.

Cibearspás: an timpeallacht dhomhanda ar líne ina ndéanann daoine, bogearraí agus seirbhísí cumarsáid trí líonraí ríomhairí agus gairis nasctha eile.

Cibirspiaireacht: An gníomh nó an cleachtas chun rúin agus faisnéis a fháil ón idirlíon, ó líonraí nó ó ríomhairí aonair gan cead agus eolas ó shealbhóir na faisnéise.

Fioscaireacht: Ríomhphoist a sheoladh a airbheartaíonn a bheith ag teacht ó fhoinse iontaofa chun faighteoirí a mhealladh chun naisc mhailíseacha a oscailt nó sonraí pearsanta a roinnt.

Foireann dhearg: Ionsamhlú réalaíoch de chibirionsaithe ina n-úsáidtear an ghné d’iontas agus teicnící a breathnaíodh le déanaí sa saol réadúil, ag díriú ar chuspóirí sonracha trí iliomad línte ionsaithe.

Foireann Phráinnfhreagartha Ríomhaire na EUIBAnna: Mol comhordaithe um mhalartú faisnéise agus freagairt do theagmhais arb iad institiúidí, comhlachtaí agus gníomhaireachtaí an Aontais a gcliaint (“comhchomhlachtaí”).

Innealtóireacht shóisialta: Maidir le slándáil faisnéise, ionramháil shíceolaíoch chun dallamhullóg a chur ar dhaoine chun rud a dhéanamh nó faisnéis rúnda a roinnt.

Tástáil treáite: Modh chun slándáil chórais TF a mheas trí iarracht a dhéanamh a chosaintí slándála a shárú leis na huirlisí agus na teicnící a úsáideann lucht sáraíochta de ghnáth.

Críochnótaí

[1] Rialachán (AE) 2019/881.

[2] ISO / IEC 27000: 2018.

[3] Athbhreithniú 02/2019 CIE: Dúshláin maidir le beartas éifeachtach cibearshlándála an Aontais Eorpaigh (Páipéar Faisnéise).

[4] CERT-EU, Tuarascáil Tírdhreacha Bagartha, Meitheamh 2021.

[5] Ibid.

[6] Ibid.

[7] Ibid.

[8] Cibirionsaí ar EMA – nuashonrú 6, 25.1.2021.

[9] Tuarascáil speisialta CIE 22/2020: Todhchaí ghníomhaireachtaí an Aontais – Acmhainneacht le haghaidh tuilleadh solúbthachta agus comhair, mír 01.

[10] IO C 12, 13.1.2018, lch. 1.

[11] ENISA, Tírdhreach Bagartha 2020, Anailís ar bhagairtí earnála/téamacha.

[12] Treoir (AE) 2016/1148 maidir le bearta le haghaidh ardleibhéal comhchoiteann slándála do líonraí agus do chórais faisnéise ar fud an Aontais.

[13] Togra le haghaidh Treorach maidir le bearta le haghaidh ardleibhéal cibearshlándála coiteann ar fud an Aontais.

[14] COM(2020) 605 final.

[15] JOIN(2020) 18 final.

[16] ISACA, lámhleabhar athbhreithnithe Iniúchóir Córais Faisnéise Deimhnithe, 2019.

[17] Cumarsáid leis an gCoimisiún, Straitéis Dhigiteach an Choimisiúin Eorpaigh: Coimisiún arna chlaochlú go digiteach, dírithe ar an úsáideoir agus sonraí-tiomáinte, C (2018) 7118 final, 21.11.2018.

[18] Caighdeán ISO / IEC 27000: 2018, caibidil 5.

[19] COBIT 5 maidir le Slándáil Faisnéise, alt 4.2.

[20] Féach mar shampla ISO/IEC 27000: 2018, alt 4.5.

[21] ENISA, Tírdhreach Snáithe 2020, Anailís ar bhagairtí Earnála / Téamacha.

[22] Sraith rialuithe a dhíorthaítear ó Rialuithe CIS 7.1, creat dea-chleachtas a choinníonn an Lárionad um Shlándáil Idirlín.

[23] Grúpa forfheidhmithe 1 (IG1) de na Rialuithe CIS.

[24] ISACA, Iniúchadh Cibearshlándála: Measúnú a dhéanamh ar Rialuithe Riosca agus Iniúchóireachta, 2017.

[25] Cinneadh 46/2017 ar shlándáil na gcóras cumarsáide agus faisnéise sa Choimisiún Eorpach.

[26] Airteagal 7 den socrú Idirinstitiúideach (IIA) sínithe an 20.12.2017.

[27] An Coimisiún Eorpach, Straitéis Néil an Choimisiúin Eorpaigh, 2019.

[28] Tá cúraimí ENISA liostaithe i gCaibidil II (Airteagail 5-12) de Rialachán (AE) 2019/881.

[29] Rialachán (AE) Uimh. 526/2013 ó Pharlaimint na hEorpa agus ón gComhairle; le haghaidh chúraimí ENISA faoin rialachán seo, féach Airteagal 3.

[30] Airteagal 6 de Rialachán (AE) 2019/881.

[31] Airteagal 14 de CSA.

[32] Airteagal 18 de CSA.

[33] Preaseisiúint ón gCoimisiún Eorpach: Neartaíodh cibearshlándáil ag institiúidí an Aontais tar éis scéim phíolótach rathúil.

[34] Airteagal 3.3 den socrú idirinstitiúideach (IIA), sínithe an 20.12.2017.

[35] Airteagal 3.2 den socrú idirinstitiúideach (IIA).

[36] Aithris 7 den socrú idirinstitiúideach (IIA).

[37] Áirítear CESE agus CnaR mar EUIBA amháin.

Déan teagmháil le

European Court of Auditors
12, rue Alcide De Gasperi
L-1615 Luxembourg
LUXEMBOURG

Teil. +352 4398-1
Fiosrúcháin: eca.europa.eu/en/Pages/ContactForm.aspx
Suíomh gréasáin: eca.europa.eu
Twitter: @EUAuditors

Tá tuilleadh eolais faoin Aontas Eorpach ar fáil ar an idirlíon (https://europa.eu).

Lucsamburg: Oifig Foilseachán an Aontais Eorpaigh, 2022

PDF ISBN 978-92-847-7602-3 ISSN ISSN 2529-3370 doi:10.2865/394007 QJ-AB-22-003-GA-N
HTML ISBN 978-92-847-7572-9 ISSN ISSN 2529-3370 doi:10.2865/7380 QJ-AB-22-003-GA-Q

CÓIPCHEART

© An tAontas Eorpach, 2022

Is i gCinneadh Uimh. 6-2019 ó Chúirt Iniúchóirí na hEorpa maidir leis an mbeartas sonraí oscailte agus athúsáid doiciméad a leagtar amach an beartas athúsáide do Chúirt Iniúchóirí na hEorpa (CIE).

Mura léirítear a mhalairt (e.g. i bhfógraí cóipchirt aonair), déanfar ábhar CIE atá faoi úinéireacht an Aontais a cheadúnú faoi cheadúnas Sannta Idirnáisiúnta Creative Commons 4.0 (CC BY 4.0). Mar riail ghinearálta, dá bhrí sin, ceadaítear athúsáid ar choinníoll go dtugtar aitheantas cuí agus go léirítear aon athruithe. Níor cheart dóibh siúd ata ag baint athúsáide as ábhar CIE bunbhrí ná teachtaireacht a shaobhadh. Ní bheidh CIE faoi dhliteanas i leith aon iarmhairt a bhaineann le hathúsáid.

Ní mór cead breise a fháil má léirítear daoine príobháideacha inaitheanta in ábhar ar leith, e.g. i bpictiúir d’fhoireann CIE nó ina bhfuil oibreacha tríú páirtí san áireamh.

I gcás ina bhfaighfear cead, féadfaidh an cead ginearálta a chur ar ceal agus beidh an cead a fuarthas in ionad an cheada ghinearálta atá thuasluaite agus féadfaidh aon srian ar úsáid a léiriú go soiléir ann.

D’fhéadfadh sé gur gá cead a lorg go díreach ó shealbhóirí an chóipchirt chun ábhar nach leis an Aontas Eorpach a úsáid nó a atáirgeadh.

Eisiatar bogearraí nó doiciméid atá cumhdaithe ag cearta maoine tionsclaíche, amhail paitinní, trádmharcanna, dearaí cláraithe, lógónna agus ainmneacha, ó bheartas athúsáide CIE.

Tá naisc le fáil chuig suíomhanna gréasáin tríú páirtithe ar shuíomhanna Gréasáin an Aontais Eorpaigh atá san fhearann europa.eu. Ós rud é nach bhfuil aon smacht ag an gCúirt ar na fearainn sin, moltar duit athbhreithniú a dhéanamh ar a mbeartais phríobháideachais agus cóipchirt.

Úsáid an Lógó CIE

Níor cheart lógó Chúirt Iniúchóirí na hEorpa a úsáid gan toiliú a fháil ó Chúirt Iniúchóirí na hEorpa roimh ré.

TEAGMHÁIL A DHÉANAMH LE HINSTITIÚIDÍ AN AONTAIS EORPAIGH

Dul ann tú féin
Tá na céadta Ionad Eolais “Europe Direct” ann ar fud an Aontais Eorpaigh. Is féidir leat seoladh an ionaid is gaire duit a fháil anseo: https://europa.eu/european-union/contact_ga

Ar an bhfón nó le ríomhphost
Seirbhís is ea Europe Direct a thabharfaidh freagra duit ar cheisteanna faoin Aontas Eorpach: Is féidir leat dul i dteagmháil leis an tseirbhís sin:

  • ag uimhir shaorghlao: 00 800 6 7 8 9 10 11 (dʼfhéadfadh oibreoirí áirithe táille a ghearradh as na glaonna sin),
  • ag an ngnáthuimhir seo a leanas: +32 22999696, nó
  • le ríomhphost, tríd an suíomh: https://europa.eu/european-union/contact_ga

EOLAS A FHÁIL FAOIN AONTAS EORPACH

Ar líne
Tá eolas faoin Aontas Eorpach ar fáil i ngach ceann de theangacha oifigiúla an Aontais Eorpaigh ar an suíomh gréasáin Europa ag: https://europa.eu/european-union/index_ga

Foilseacháin de chuid an Aontais
Is féidir leat foilseacháin de chuid an Aontais Eorpaigh, idir cinn saor in aisce agus cinn a bhfuil praghas orthu, a íoslódáil nó a ordú ag: https://op.europa.eu/ga/publications. Más mian leat a lán cóipeanna de na foilseacháin saor in aisce a fháil, is féidir dul i dteagmháil le Europe Direct nó le dʼionad eolais áitiúil chun é sin a dhéanamh (https://europa.eu/european-union/contact_ga).

Dlí an Aontais Eorpaigh agus doiciméid ghaolmhara
Chun teacht ar eolas dlíthiúil ón Aontas Eorpach, dlí an Aontais Eorpaigh ón mbliain 1951 ar aghaidh sna teangacha oifigiúla san áireamh, téigh chuig EUR-Lex ag: http://eur-lex.europa.eu

Sonraí oscailte ón Aontas Eorpach
Is féidir teacht ar thacair shonraí ón Aontas Eorpach ag Tairseach Sonraí Oscailte an Aontais (http://data.europa.eu/ga). Is féidir sonraí a íoslódáil agus a athúsáid saor in aisce, ar bhonn tráchtála nó ar bhonn neamhthráchtála.