Raport special
05 2022

Securitatea cibernetică a instituțiilor, organelor și agențiilor UE: per ansamblu, nivelul de pregătire nu este proporțional cu amenințările

Informații despre raportNumărul de atacuri cibernetice îndreptate împotriva instituțiilor, organelor și agențiilor UE (IOAUE) crește vertiginos. Dat fiind că IOAUE sunt puternic interconectate, punctele slabe ale uneia le pot expune pe celelalte la amenințări de securitate. Curtea a examinat dacă IOAUE dispun de mecanisme adecvate pentru a se proteja împotriva atacurilor cibernetice. S-a constatat că, per ansamblu, nivelul de pregătire al IOAUE nu este proporțional cu amenințările și că IAOUE au niveluri foarte variabile de maturitate în materie de securitate cibernetică. Curtea recomandă Comisiei să îmbunătățească nivelul de pregătire al IOAUE printr-o propunere vizând introducerea unor norme obligatorii în materie de securitate cibernetică și creșterea resurselor Centrului de răspuns la incidente de securitate cibernetică (CERT-UE). De asemenea, Comisia ar trebui să promoveze sinergii suplimentare între IOAUE, iar CERT-UE și Agenția Uniunii Europene pentru Securitate Cibernetică ar trebui să își concentreze sprijinul pe acele IOAUE mai puțin avansate în domeniul securității cibernetice.

Raport special al Curții de Conturi Europene prezentat în temeiul articolului 287 alineatul (4) al doilea paragraf TFUE.

Această publicație este disponibilă în 24 de limbi și în următorul format:
PDF
PDF Raport special: Securitatea cibernetică a instituțiilor, organelor și agențiilor UE

Sinteză

I Potrivit Regulamentului UE privind securitatea cibernetică, acest concept desemnează „activitățile necesare pentru protejarea rețelelor și a sistemelor informatice, a utilizatorilor unor astfel de sisteme și a altor persoane afectate de amenințări cibernetice”. Având în vedere informațiile sensibile pe care le prelucrează, instituțiile, organele și agențiile UE (IOAUE) sunt ținte atractive pentru potențialii atacatori, în special pentru grupuri capabile să execute atacuri disimulate extrem de sofisticate în scopuri de spionaj cibernetic și nu numai. În pofida independenței lor instituționale și a autonomiei lor administrative, IOAUE sunt puternic interconectate. Din această cauză, punctele slabe ale unei IOAUE le pot expune pe celelalte la amenințări de securitate.

II Având în vedere creșterea spectaculară a numărului de atacuri cibernetice asupra IOAUE, obiectivul auditului a fost de a stabili dacă acestea, per ansamblu, au instituit mecanisme adecvate pentru a se proteja împotriva amenințărilor cibernetice. Curtea a ajuns la concluzia că nivelul de pregătire cibernetică al comunității instituțiilor, organelor și agențiilor UE nu este proporțional cu amenințările.

III S-a constatat că principalele bune practici în materie de securitate cibernetică (inclusiv unele controale esențiale) nu erau întotdeauna implementate și că o serie de IOAUE consacră un buget clar insuficient pentru securitatea cibernetică. De asemenea, unele IOAUE nu dispun încă de o guvernanță robustă în materie de securitate cibernetică: în multe cazuri, strategiile de securitate informatică lipsesc sau nu sunt aprobate de conducerea superioară, politicile de securitate nu sunt întotdeauna formalizate, iar evaluările riscurilor nu acoperă întregul mediu informatic. Nu toate IOAUE fac în mod regulat obiectul unui proces de asigurare independentă în materie de securitate cibernetică.

IV Formarea în materie de securitate cibernetică nu este întotdeauna sistematică. Doar puțin peste jumătate dintre IOAUE oferă personalului din IT și specialiștilor în securitate IT o formare continuă în domeniul securității cibernetice. Puține IOAUE asigură cursuri obligatorii de formare pe acest subiect pentru managerii responsabili de sistemele informatice care conțin informații sensibile. Exercițiile de phishing reprezintă un instrument important de formare și sensibilizare a personalului, dar nu toate IOAUE le utilizează în mod sistematic.

V IOAUE au instituit structuri de cooperare și de schimb de informații privind securitatea cibernetică, dar Curtea a observat totuși că sinergiile potențiale nu sunt valorificate pe deplin. IOAUE nu își comunică reciproc și sistematic informații legate de proiectele privind securitatea cibernetică, de evaluările de securitate și de contractele de servicii în materie de securitate cibernetică. În plus, instrumentele de comunicare de bază, cum ar fi serviciile de e-mail criptat sau soluțiile de videoconferință, nu sunt pe deplin interoperabile. Acest lucru poate avea ca rezultat o securitate mai precară a schimburilor de informații, dublarea eforturilor și costuri mai mari.

VI Centrul de răspuns la incidente de securitate cibernetică pentru instituțiile, organele și agențiile UE (CERT-UE) și Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) sunt cele două entități principale care au misiunea de a sprijini IOAUE în materie de securitate cibernetică. Cu toate acestea, din cauza constrângerilor legate de resurse sau a faptului că se acordă prioritate altor domenii, aceste două entități nu au fost în măsură să ofere IOAUE tot sprijinul de care acestea au nevoie, în special în ceea ce privește consolidarea capacităților în cazul acelor IOAUE mai puțin avansate. Deși CERT-UE este foarte apreciat de IOAUE, eficacitatea sa este compromisă de creșterea volumului de muncă, de instabilitatea finanțării și a dotării cu personal, precum și de cooperarea insuficientă din partea unor IOAUE, care nu partajează întotdeauna în timp util informații cu privire la vulnerabilitățile și incidentele semnificative de securitate cibernetică ce au avut un impact asupra lor sau care ar putea avea un impact asupra altora.

VII Pe baza acestor concluzii, Curtea formulează următoarele recomandări:

  • Comisia ar trebui să îmbunătățească nivelul de pregătire cibernetică al IOAUE printr-o propunere legislativă vizând introducerea unor norme obligatorii comune în materie de securitate cibernetică, aplicabile tuturor IOAUE, și creșterea resurselor CERT-UE;
  • în contextul Comitetului interinstituțional pentru transformarea digitală, Comisia ar trebui să promoveze sinergii suplimentare între IOAUE în anumite domenii;
  • CERT-UE și ENISA ar trebui să pună un accent mai puternic pe acele IOAUE care sunt mai puțin avansate în domeniul securității cibernetice.

Introducere

Ce este securitatea cibernetică?

01 Potrivit Regulamentului UE privind securitatea cibernetică1, acest concept desemnează „activitățile necesare pentru protejarea rețelelor și a sistemelor informatice, a utilizatorilor unor astfel de sisteme și a altor persoane afectate de amenințări cibernetice”. Securitatea cibernetică se bazează pe securitatea informațiilor, care constă în păstrarea confidențialității, a integrității și a disponibilității informațiilor2, fie în formă fizică, fie în format electronic. Pe lângă aceasta, protecția rețelelor și a sistemelor informatice în care sunt stocate astfel de informații este cunoscută sub denumirea de securitate a tehnologiei informației (IT) (sau „securitate informatică”) (a se vedea figura 1).

Figura 1 – Securitatea cibernetică este legată de securitatea informațiilor și de securitatea informatică

Sursa: Curtea de Conturi Europeană.

02 Ca disciplină, securitatea cibernetică implică identificarea, prevenirea și detectarea incidentelor cibernetice, răspunsul la acestea și redresarea ulterioară. Incidentele pot varia, de exemplu, de la divulgarea accidentală de informații la atacuri menite să compromită infrastructura critică și până la furtul de identități și de date cu caracter personal3.

03 Un cadru de securitate cibernetică cuprinde numeroase elemente, inclusiv cerințe și controale tehnice pentru securitatea rețelelor și a sistemelor informatice, precum și mecanisme de guvernanță adecvate și programe de sensibilizare în domeniul cibernetic pentru personal.

Securitatea cibernetică în instituțiile, organele și agențiile UE

04 Având în vedere informațiile sensibile pe care le prelucrează, instituțiile, organele și agențiile UE (IOAUE) sunt ținte atractive pentru potențialii atacatori, în special pentru grupuri capabile să execute atacuri disimulate extrem de sofisticate („amenințări persistente avansate”) în scopuri de spionaj cibernetic și nu numai4. Atacurile cibernetice reușite împotriva IOAUE pot avea implicații politice considerabile, pot afecta reputația generală a UE și pot submina încrederea în instituțiile sale.

05 Pandemia de COVID-19 a forțat IOAUE, la fel ca numeroase alte organizații din lume, să accelereze brusc transformarea digitală și să adopte munca de la distanță. Acest lucru a dus la creșterea considerabilă a numărului de puncte de acces potențial pentru atacatori (așa-numita „suprafață de atac”), extinzând perimetrul fiecărei organizații la locuințe și dispozitive mobile conectate la internet, prin care pot fi exploatate noi vulnerabilități. Serviciile de acces de la distanță reprezintă una dintre porțile de intrare cel mai frecvent utilizate de grupurile care vizează IOAUE prin amenințări persistente avansate, acestea urmărind să obțină astfel un acces inițial la rețelele IOAUE5.

06 Numărul incidentelor cibernetice este în creștere, o tendință deosebit de îngrijorătoare fiind creșterea dramatică a numărului de incidente semnificative care afectează IOAUE6. 2021 a fost un an-record în acest sens. Incidentele semnificative desemnează acele incidente care nu sunt nici repetitive, nici simple. De regulă, acestea implică utilizarea de noi metode și tehnologii, iar pentru investigarea și redresarea în urma lor poate fi nevoie de săptămâni sau chiar de luni întregi. Numărul incidentelor semnificative a crescut de peste zece ori între 2018 și 20217. Numai în ultimii doi ani, cel puțin 22 de IOAUE au fost victime ale unor incidente semnificative. Un exemplu recent este atacul cibernetic asupra Agenției Europene pentru Medicamente, soldat cu divulgarea unor date sensibile și manipularea acestora într-un mod menit să submineze încrederea în vaccinuri8.

07 IOAUE sunt un grup foarte eterogen, care cuprinde instituții, agenții și o serie de diferite organe. Cele șapte instituții ale UE sunt înființate prin tratate. Pe de altă parte, agențiile descentralizate și celelalte organe ale UE sunt înființate prin acte de legislație secundară și sunt entități juridice separate. Agențiile sunt organizate sub diferite forme juridice: șase sunt agenții executive ale Comisiei și 37 sunt agenții descentralizate ale UE9. IOAUE includ, de asemenea, oficiile UE, un corp diplomatic (Serviciul European de Acțiune Externă), întreprinderile comune și alte organisme. IOAUE sunt responsabile fiecare în parte pentru definirea propriilor cerințe de securitate cibernetică și pentru punerea în aplicare a propriilor măsuri de securitate.

08 Pentru a consolida securitatea cibernetică a IOAUE, Comisia a înființat în 2012 Centrul de răspuns la incidente de securitate cibernetică pentru instituțiile, organele și agențiile UE (CERT-UE) ca grup operativ permanent. CERT-UE acționează ca centru de coordonare a schimbului de informații în materie de securitate cibernetică și a răspunsului la incidente cibernetice pentru IOAUE și cooperează cu alte centre de răspuns la incidente de securitate cibernetică (CSIRT) din statele membre și cu societăți specializate din domeniul securității informatice. În prezent, organizarea și funcționarea CERT-UE sunt reglementate de un acord interinstituțional10 din 2018 încheiat între acele IOAUE pe care CERT-UE le deservește („entitățile constitutive”). Există actualmente 87 de entități constitutive.

09 Un alt partener major care sprijină IOAUE este Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA), al cărei obiectiv constă în atingerea unui nivel comun ridicat de securitate cibernetică în Uniune. Înființată în 2004, ENISA are misiunea de a mări fiabilitatea produselor, proceselor și serviciilor din domeniul tehnologiei informației și comunicațiilor (TIC) cu ajutorul unor sisteme de certificare a securității cibernetice, de a coopera cu IOAUE și cu statele membre și de a le ajuta să se pregătească pentru a face față amenințărilor cibernetice. ENISA ajută IOAUE să își consolideze capacitățile și să coopereze la nivel operațional.

10 În pofida independenței lor instituționale, IOAUE sunt puternic interconectate. Acestea fac zilnic schimb de informații și folosesc în comun o serie de sisteme și rețele. Punctele slabe ale oricăreia dintre IOAUE le-ar putea expune pe altele la amenințări la adresa securității, dat fiind că multe atacuri cibernetice se desfășoară în mai multe etape pentru a-și atinge obiectivul sau ținta finală11. Un atac reușit împotriva unei IOAUE mai slabe poate fi utilizat ca o treaptă pentru inițierea de atacuri asupra altora. De asemenea, IOAUE sunt interconectate cu organizații publice și private din statele membre și, în cazul în care nu au un nivel suficient de pregătire cibernetică, le pot expune și pe acestea la amenințări cibernetice.

11 IOAUE nu dispun în prezent de un cadru juridic pentru securitatea informațiilor și securitatea cibernetică. Ele nu fac obiectul celui mai cuprinzător act legislativ al UE privind securitatea cibernetică, și anume Directiva NIS din 201612, și nici al propunerii de revizuire a acesteia, Directiva NIS213. De asemenea, nu există informații complete cu privire la sumele cheltuite de IOAUE pentru securitatea cibernetică.

12 În iulie 2020, Comisia a publicat o comunicare referitoare la Strategia UE privind uniunea securității14 pentru perioada 2020‑2025. Printre acțiunile-cheie ale acesteia se numără „norme comune privind securitatea informațiilor și securitatea cibernetică pentru toate instituțiile, organele și agențiile UE”. Acest nou cadru este menit să sprijine o cooperare operațională puternică și eficientă, articulată în jurul rolului CERT-UE. În Strategia de securitate cibernetică a UE pentru deceniul digital15, publicată în decembrie 2020, Comisia s-a angajat să propună un regulament privind norme comune în materie de securitate cibernetică pentru toate IOAUE. Această strategie propunea totodată un nou temei juridic pentru CERT-UE în vederea consolidării mandatului și a finanțării acestuia.

Sfera și abordarea auditului

13 Având în vedere creșterea spectaculară a numărului de atacuri cibernetice și faptul că punctele slabe ale unei IOAUE le pot expune pe celelalte la amenințări de securitate, obiectivul acestui audit a fost de a stabili dacă IOAUE au instituit mecanisme adecvate, per ansamblu, pentru a se proteja împotriva amenințărilor cibernetice. Pentru a aborda această întrebare principală a auditului, Curtea a căutat să obțină răspunsuri la următoarele trei întrebări secundare:

  1. Au adoptat IOAUE, în ansamblul lor, practici esențiale în materie de securitate cibernetică?
  2. Există o cooperare eficientă între IOAUE cu privire la securitatea cibernetică?
  3. ENISA și CERT-UE oferă un sprijin adecvat pentru IOAUE în domeniul securității cibernetice?

14 Data auditului a fost aliniată la Strategia UE privind uniunea securității. Prin evaluarea dispozițiilor actuale ale IOAUE în materie de securitate cibernetică, Curtea urmărește să identifice domeniile în care sunt necesare îmbunătățiri, astfel încât Comisia să le poate lua în considerare la elaborarea propunerii sale legislative vizând norme comune și obligatorii de securitate cibernetică pentru toate IOAUE.

15 Auditul a acoperit evoluțiile și inițiativele din domeniul securității cibernetice care au avut loc între ianuarie 2018 (când a fost creat mecanismul interinstituțional CERT-UE) și octombrie 2021.

16 Sfera auditului s-a limitat la reziliența cibernetică și la sistemele neclasificate. Curtea s-a concentrat asupra aspectelor legate de pregătire (adică pe acele activități care corespund „identificării, protejării și detectării”). Activitățile de „răspuns” și de „redresare” nu au intrat în sfera auditului. Curtea a examinat totuși unele elemente organizaționale ale răspunsului la incidente. Aspectele legate de protecția datelor, de asigurarea respectării legii, de apărarea cibernetică și de diplomația cibernetică nu au fost incluse nici ele în sfera auditului (a se vedea figura 2).

Figura 2 – Sfera auditului

Sursa: Curtea de Conturi Europeană.

17 Constatările de audit ale Curții se bazează pe o analiză aprofundată a documentației disponibile, completată cu interviuri. Curtea a efectuat în rândul a 65 de IOAUE un sondaj bazat pe autoevaluare, pentru a colecta informații cu privire la dispozițiile acestora în materie de securitate cibernetică, precum și opiniile lor cu privire la cooperarea interinstituțională. Sondajul a fost realizat în rândul tuturor IOAUE care intră sub incidența drepturilor de audit ale Curții și care își gestionează propria infrastructură informatică și a vizat de asemenea Curtea de Conturi Europeană. Printre aceste IOAUE se numără instituții, agenții descentralizate, întreprinderi comune și organe. Sondajul a fost adresat și misiunilor civile, entități autonome temporare finanțate de la bugetul UE, care sunt independente din punct de vedere informatic. Anexa I conține lista completă a IOAUE chestionate. Ombudsmanul European și Autoritatea Europeană pentru Protecția Datelor nu au fost incluse în sfera acestui audit.

18 Rata de răspuns la sondaj a fost de 100 % și acesta a servit drept punct de plecare pentru o analiză mai aprofundată. În plus, Curtea a selectat un eșantion de șapte IOAUE care este reprezentativ pentru eterogenitatea acestora și a aprofundat răspunsurile lor prin interviuri și solicitări de documente. Criteriile de selecție avute în vedere includeau temeiul juridic, dimensiunea (ca personal și buget) și sectorul de activitate. Eșantionul de IOAUE a fost format din Comisia Europeană, Parlamentul European, Agenția UE pentru Securitate Cibernetică (ENISA), Autoritatea Bancară Europeană (ABE), Agenția Europeană pentru Securitate Maritimă (EMSA), Misiunea UE de consiliere în Ucraina (EUAM Ucraina) și întreprinderea comună pentru inițiativa privind medicamentele inovatoare (IMI).

19 De asemenea, Curtea a organizat reuniuni video cu CERT-UE, cu Comitetul consultativ TIC al rețelei de agenții (ICTAC), cu Comitetul interinstituțional pentru transformarea digitală (ICDT) și cu alte părți interesate relevante.

Observații

IOAUE au niveluri foarte diferite de maturitate în materie de securitate cibernetică și nu respectă întotdeauna bunele practici

20 În această secțiune sunt examinate mecanismele și cadrele de securitate cibernetică de la nivelul individual al IOAUE. Curtea a evaluat dacă acestea abordează securitatea cibernetică în mod coerent și adecvat, în ceea ce privește guvernanța securității informatice, gestionarea riscurilor, alocarea resurselor, formarea în vederea sensibilizării, controalele și obținerea unei asigurări independente.

Adesea, guvernanța securității informatice în cadrul IOAUE nu este bine dezvoltată, iar evaluările riscurilor nu sunt exhaustive

În numeroase IOAUE, guvernanța securității informatice prezintă lacune

21 Întrucât definește obiectivele unei organizații și indică direcția de urmat prin stabilirea priorităților și luarea deciziilor, buna guvernanță joacă un rol esențial într-un cadru eficace pentru securitatea informațiilor și a sistemelor informatice. Potrivit Asociației de Audit și Control al Sistemelor Informatice (ISACA)16, un cadru de guvernanță a securității informatice ar trebui să includă, în general, mai multe elemente:

  • o strategie de securitate exhaustivă, legată în mod intrinsec de obiectivele activității;
  • politici de securitate care abordează fiecare aspect al strategiei, al controalelor și al reglementării;
  • un set complet de standarde pentru fiecare politică, care să descrie etapele operaționale necesare pentru a se asigura respectarea politicii;
  • procese de monitorizare instituționalizate pentru a asigura conformitatea și a oferi feedback cu privire la eficacitate;
  • o structură organizațională eficace, fără conflicte de interese.

22 Curtea a identificat deficiențe în guvernanța securității informatice în numeroase IOAUE. Doar 58 % dintre IOAUE (38 din 65) au o strategie de securitate informatică sau cel puțin un plan în materie care să fi fost aprobat(ă) la nivelul consiliului de administrație/al conducerii superioare. O defalcare pe tip de IOAUE arată că cele mai scăzute procente corespund misiunilor civile și agențiilor descentralizate (care reprezintă împreună 71 % din IOAUE chestionate) (a se vedea tabelul 1). În cazurile în care strategia sau planul de securitate informatică nu sunt aprobate de conducerea de nivel superior, există riscul ca aceasta să nu cunoască problemele de securitate informatică sau să nu le acorde o prioritate suficientă.

Tabelul 1 – Procentul de IOAUE care dispun de o strategie sau de un plan de securitate informatică aprobat(ă) de conducerea superioară

Defalcare în funcție de efectivul de personal

< 100 de angajați
(22 de IOAUE)
Între 100 și 249 de angajați
(17 IOAUE)
Între 250 și 1 000 de angajați
(16 IOAUE)
> 1 000 de angajați
(10 IOAUE)
45 % 53 % 69 % 80 %

Defalcare în funcție de tipul de IOAUE

Agenții descentralizate
(35 de IOAUE)
Misiuni civile
(11 IOAUE)
Organe
(4 IOAUE)
Instituții
(6 IOAUE)
Întreprinderi comune
(9 IOAUE)
45 % 56 % 75 % 83 % 89 %

Sursa: sondajul realizat de Curtea de Conturi Europeană.

23 Curtea a examinat strategiile/planurile de securitate informatică puse la dispoziție de cele șapte IOAUE incluse în eșantion (a se vedea punctul 18). S-a constatat că strategiile IOAUE sunt suficient de bine conectate la obiectivele lor de activitate. De exemplu, strategia de securitate informatică a Comisiei acoperă dimensiunea securității informatice a Strategiei digitale a Comisiei Europene17 și este concepută pentru a sprijini foaia de parcurs și obiectivele acesteia. Cu toate acestea, doar trei IOAUE din eșantionul Curții incluseseră în strategiile/planurile lor de securitate informatică obiective concrete și un calendar pentru realizarea acestora.

24 Politicile de securitate stabilesc normele și procedurile pe care trebuie să le urmeze persoanele care utilizează sau gestionează informații și resurse informatice. Acestea contribuie la atenuarea riscurilor în materie de securitate cibernetică și precizează ce trebuie făcut în caz de incidente. Curtea a constatat că 78 % dintre IOAUE au o politică oficială de securitate a informațiilor, în timp ce numai 60 % au politici oficiale de securitate informatică (a se vedea figura 1 pentru definiții ale conceptelor de securitate a informațiilor și securitate informatică). S-a observat, de asemenea, că patru dintre cele șapte IOAUE din eșantionul Curții dispun de politici de securitate conforme cu strategiile lor în materie de securitate informatică. Totuși, în trei cazuri dintre acestea patru, politicile de securitate informatică sunt doar parțial completate cu standarde de securitate detaliate și actualizate, care să descrie etapele operaționale necesare pentru punerea în aplicare a politicilor. Lipsa unor standarde formale de securitate sporește riscul ca problemele de securitate informatică să nu fie tratate de o manieră adecvată și consecventă în cadrul aceleiași IOAUE. În plus, din această cauză este mai greu să se evalueze măsura în care organizația își respectă politica de securitate informatică. Dintre cele șapte IOAUE incluse în eșantion, numai Comisia dispunea de proceduri structurate de monitorizare a respectării politicilor și a standardelor sale în materie de securitate informatică, chiar dacă acestea erau utilizate doar de un număr limitat de direcții generale (DG) (a se vedea caseta 1).

Caseta 1

Respectarea securității informatice în cadrul Comisiei

În conformitate cu guvernanța descentralizată a Comisiei în domeniul informatic, directorul fiecărei direcții generale este „proprietarul serviciului”, fiind responsabil și răspunzător pentru conformarea sistemelor sale cu standardele de securitate informatică. Direcția Generală Informatică (DG DIGIT) și Direcția Generală Resurse Umane și Securitate (DG HR) monitorizează și facilitează punerea în aplicare a practicilor de gestionare a conformității. DG DIGIT a creat un instrument (cunoscut sub denumirea de „GRC”) care permite direcțiilor generale să măsoare și să raporteze cu privire la conformitatea lor cu controalele de securitate informatică.

Cele 580 de controale sunt împărțite în trei grupe: controale generale (în special în ceea ce privește guvernanța), controale specifice unei anumite direcții generale și controale specifice unui anumit sistem. Instrumentul este operațional, dar numai cinci direcții generale îl utilizează deocamdată. Prin urmare, DG DIGIT nu are o imagine de ansamblu asupra conformității la nivelul de ansamblu al Comisiei. Consiliul pentru tehnologia informației și securitatea cibernetică (ITCB) din cadrul Comisiei poate însă solicita DG DIGIT să investigheze conformitatea cu un anumit standard (de exemplu, autentificarea multifactor în 2021) și poate emite avize și recomandări fără caracter obligatoriu sau, în cazul riscurilor critice, chiar și cerințe formale.

25 Un alt element important al bunei guvernanțe în materie de securitate cibernetică este numirea unui responsabil pentru securitatea sistemelor informatice (CISO). Deși nu este impusă în mod explicit de familia de standarde ISO 2700018, existența unui CISO sau a unui rol echivalent a devenit o practică larg răspândită în rândul organizațiilor și face parte din orientările ISACA. De regulă, CISO deține responsabilitatea generală pentru programele de securitate informatică și de securitate a informațiilor din cadrul unei organizații. Pentru a evita orice conflict de interese, CISO ar trebui să aibă un anumit grad de independență față de funcția/departamentul de IT19.

26 Potrivit sondajului efectuat de Curte, 60 % dintre IOAUE nu desemnaseră un CISO independent sau un rol echivalent. Chiar și în cazurile în care au fost numiți CISO (sau echivalenți), rolurile acestora diferă foarte mult prin natura lor – iar funcțiile lor sunt înțelese în mod diferit – de la o IOAUE la alta. În special în cadrul IOAUE mici și mijlocii, CISO tinde să fie asociat cu roluri mai degrabă operaționale, care nu sunt independente din punct de vedere funcțional de departamentul de IT. Acest lucru poate limita autonomia de care dispun CISO în punerea în aplicare a priorităților lor în materie de securitate. ENISA lucrează în prezent la un cadru al UE privind competențele în materie de securitate cibernetică. Printre altele, acesta urmărește să permită o înțelegere comună a rolurilor, a competențelor și a abilităților.

Evaluările riscurilor în materie de securitate informatică în cadrul IOAUE nu acoperă, în general, întregul lor mediu informatic

27 Toate standardele internaționale de securitate informatică subliniază importanța stabilirii unei metode adecvate pentru evaluarea și gestionarea riscurilor de securitate care afectează sistemele informatice și datele pe care acestea le conțin. Pentru a ține seama de modificările aduse cerințelor de securitate a informațiilor din cadrul unei organizații și de riscurile cu care aceasta se confruntă, ar trebui efectuate periodic evaluări ale riscurilor20. Acestea ar trebui să fie urmate de un plan de atenuare a riscurilor (sau de un plan de securitate informatică).

28 Majoritatea IOAUE chestionate (58 din 65) au indicat că urmează un cadru sau o metodologie pentru a efectua evaluări ale riscurilor legate de sistemele lor informatice. Nu există însă o metodologie comună tuturor IOAUE. Cel puțin 26 de IOAUE utilizează parțial sau integral metodologiile elaborate de Comisie: de exemplu, 31 % dintre IOAUE au utilizat metodologia de gestionare a riscurilor de securitate informatică din 2018 (ITSRM2). Celelalte urmează metodologii bazate pe standarde bine-cunoscute din sector [cum ar fi ISO27001, ISO27005, cadrul de securitate cibernetică al Institutului Național de Standarde și Tehnologie (NIST-CSF) ori controalele Centrului pentru securitatea internetului (SIC)] sau utilizează alte metodologii interne.

29 Dintre cele șapte IOAUE incluse în eșantion, doar două efectuează evaluări exhaustive ale riscurilor care să acopere întregul lor mediu informatic (adică toate sistemele lor informatice). Majoritatea efectuează evaluări individuale ale riscurilor numai pentru cele mai importante dintre sistemele lor informatice. Curtea a identificat mai multe exemple de evaluări ale riscurilor efectuate înainte de introducerea unor noi sisteme. Nu s-au găsit însă elemente care să arate că au avut loc evaluări subsecvente ale riscurilor legate, de exemplu, de modificări ulterioare aduse sistemelor/infrastructurii organizației respective.

IOAUE nu au o abordare consecventă în materie de securitate cibernetică și lipsesc uneori controale esențiale

Alocarea resurselor pentru securitatea cibernetică variază foarte mult de la o IOAUE la alta

30 În cadrul sondajului realizat, Curtea a solicitat IOAUE să comunice totalul cheltuielilor lor cu informatica din 2020, precum și o estimare a sumei cheltuite pentru securitatea cibernetică. Datele obținute indică variații semnificative ale procentajului din cheltuielile cu informatica pe care IOAUE îl alocă pentru securitatea cibernetică. Acest lucru este valabil chiar și în rândul IOAUE de dimensiuni similare din punctul de vedere al efectivului de personal. După cum se arată în figura 3, diferențele tind să fie deosebit de ridicate în rândul IOAUE cu mai puțin personal.

Figura 3 – Cheltuielile pentru securitate cibernetică reprezentate ca procent din totalul cheltuielilor cu informatica (IOAUE sunt grupate în funcție de efectivul de personal)

Notă: patru IOAUE nu au comunicat cifre cu privire la cheltuielile pentru securitate cibernetică.

Sursa: sondajul realizat de Curtea de Conturi Europeană.

31 Este dificil să se evalueze, în termeni absoluți, care este nivelul optim de cheltuieli pentru securitate cibernetică. Acesta depinde de mulți factori, cum ar fi suprafața de atac a organizației, sensibilitatea datelor pe care aceasta le gestionează, profilul său de risc și apetitul pentru risc, precum și cerințele legislative/de reglementare sectoriale. Datele Curții arată însă faptul că diferențele sunt substanțiale, iar motivele de la baza acestora nu sunt întotdeauna evidente. Unele IOAUE cheltuiesc mult mai puțin cu securitatea cibernetică în comparație cu omologi de dimensiuni similare, ceea ce poate indica o insuficiență a cheltuielilor în materie dacă sunt expuse unor amenințări și riscuri similare.

32 Majoritatea IOAUE sunt de dimensiuni mici spre medii atât din punctul de vedere al efectivului lor de personal, cât și din perspectiva cheltuielilor cu informatica, două treimi din IOAUE având mai puțin de 350 de angajați. Cea mai mică IOAUE are doar 15 angajați. Gestionarea securității cibernetice este mai dificilă și necesită mai multe resurse pentru IOAUE mai mici. În majoritatea cazurilor, acestea nu pot beneficia de economii de scară și nu dispun de suficientă expertiză internă. Din sondajul și interviurile realizate de Curte reiese că cele mai mari instituții, cum ar fi Comisia și Parlamentul European, dispun de echipe de experți care se ocupă cu normă întreagă de securitatea cibernetică. În schimb, în cadrul celor mai mici IOAUE, unde personalul și resursele sunt în mod deosebit limitate, nu există deloc experți în domeniu, iar securitatea cibernetică este gestionată cu fracțiune de normă de personal cu experiență în domeniul IT. Întrucât IOAUE sunt puternic interconectate, o astfel de situație prezintă un risc sporit (a se vedea, de asemenea, punctul 10).

33 În cadrul sondajului realizat, Curtea a întrebat IOAUE care erau principalele provocări în ceea ce privește punerea în aplicare a unor politici eficace în materie de securitate cibernetică în organizațiile lor (a se vedea figura 4). Cea mai mare provocare este reprezentată de faptul că experții în materie de securitate cibernetică sunt rari, iar multe IOAUE se confruntă cu dificultăți în a-i atrage, din cauza concurenței atât din partea sectorului privat, cât și din partea altor IOAUE. Printre alte probleme recurente se numără procedurile îndelungate de recrutare, condițiile contractuale necompetitive și lipsa unor perspective de carieră atractive. Deficitul de personal specializat prezintă un risc semnificativ pentru o gestionare eficace a securității cibernetice.

Figura 4 – Provocări în implementarea unor politici eficace în materie de securitate cibernetică în cadrul IOAUE (puteau fi selectați mai mulți factori)

Sursa: sondajul realizat de Curtea de Conturi Europeană.

Majoritatea IOAUE oferă o formă sau alta de instruire pentru sensibilizarea cu privire la securitatea cibernetică, dar aceste acțiuni de formare nu sunt sistematice sau bine direcționate

34 Exploatarea vulnerabilităților sistemelor și ale dispozitivelor nu este singura modalitate prin care potențialii atacatori pot cauza prejudicii. Aceștia pot convinge utilizatorii să dezvăluie informații sensibile sau să descarce programe informatice răuvoitoare, de exemplu prin phishing sau inginerie socială. Personalul face parte din prima linie de apărare a fiecărei organizații. Prin urmare, programele de sensibilizare și de formare în domeniul cibernetic reprezintă un element-cheie al unui cadru eficace în materie de securitate cibernetică.

35 Cu excepția a trei IOAUE, marea majoritate a organizațiilor chestionate (95 %) oferă personalului o formă sau alta de instruire generală în vederea sensibilizării cu privire la securitatea cibernetică. În schimb, doar 41 % dintre IOAUE organizează sesiuni de formare sau de sensibilizare specifice pentru manageri și numai 29 % asigură cursuri obligatorii de formare în materie de securitate cibernetică pentru managerii responsabili de sistemele informatice care conțin informații sensibile. Sensibilizarea și angajamentul managerilor sunt esențiale pentru o guvernanță eficace în materie de securitate cibernetică. Dintre cele 11 IOAUE care au menționat că absența sprijinului din partea structurii de management constituie un obstacol în asigurarea unei securități cibernetice eficace, doar 3 ofereau managerilor lor formări de sensibilizare. 58 % dintre IOAUE oferă personalului din IT o formare continuă în domeniul securității cibernetice, iar 51 % dintre ele oferă o astfel de formare specialiștilor în securitate IT.

36 Nu toate IOAUE dispun de mecanisme prin care să monitorizeze participarea angajaților la formări în materie de securitate cibernetică și evoluția ulterioară a comportamentului și a gradului de conștientizare al acestora. În special în organizațiile mai mici, sesiunile de sensibilizare în domeniul cibernetic se pot derula în contextul reuniunilor informale ale personalului. Principalul mod în care organizațiile măsoară gradul de sensibilizare în materie al angajaților este prin teste periodice cu privire la comportamentele lor, inclusiv prin sondaje de maturitate cibernetică sau prin exerciții de phishing. În ultimii cinci ani, 55 % dintre IOAUE au organizat una sau mai multe campanii de phishing simulate (sau exerciții similare). Întrucât phishingul este una dintre principalele amenințări cu care se confruntă personalul din administrațiile publice21, aceste exerciții reprezintă un instrument important de formare a personalului și de sensibilizare. Curtea a constatat că acțiunile Comisiei de sensibilizare în domeniul cibernetic constituiau o bună practică și erau disponibile și pentru alte IOAUE interesate (a se vedea caseta 2).

Caseta 2

Formare în vederea sensibilizării cu privire la securitatea cibernetică în cadrul Comisiei

Comisia dispune în cadrul DG DIGIT de o echipă specializată „Cyber Aware”, care conduce programul organizației de sensibilizare în materie de securitate cibernetică. Programul este gestionat și derulat în comun cu DG HR, Secretariatul General, Direcția Generală Rețele de Comunicare, Conținut și Tehnologie (DG CNECT) și CERT-UE. Formarea este de înaltă calitate și, în multe cazuri, are o rază de acțiune interinstituțională. Sesiunile de formare sunt publicate în așa-numitul Learning Bulletin, care ajunge la aproximativ 65 000 de angajați ai UE. Prin intermediul platformei „Cyber Aware”, Comisia a organizat în ultimii cinci ani 15 exerciții de phishing și a efectuat recent un prim exercițiu de acest tip la nivelul întregii Comisii.

Controalele esențiale nu sunt întotdeauna implementate sau nu sunt formalizate în standarde

37 Curtea a solicitat IOAUE să autoevalueze modul în care au implementat o selecție de controale esențiale22. Ea a selectat un set de bune practici pe care chiar și organizațiile mai mici le-ar putea implementa în mod rezonabil23. Rezultatele sunt prezentate pe scurt în figura 5. Majoritatea IOAUE chestionate au adoptat controalele esențiale selectate. Cu toate acestea, în anumite domenii, controalele par a fi deficitare sau limitate în cel puțin 20 % dintre IOAUE.

Figura 5 – Implementarea controalelor esențiale în cadrul IOAUE (rezultatele autoevaluării)

Sursa: sondajul realizat de Curtea de Conturi Europeană.

38 Pentru cele șapte IOAUE incluse în eșantion, Curtea a solicitat documente justificative și standarde/politici aferente pentru fiecare control pe care organizația respectivă l-a declarat ca fiind implementat. Aceste documente au fost obținute pentru 62 % din controale. După cum s-a clarificat în cursul interviurilor, în mai multe cazuri existau controale tehnice, dar acestea nu erau formalizate în standarde sau politici actualizate, ceea ce sporește riscul ca problemele de securitate informatică să nu fie tratate în mod consecvent în cadrul aceleiași IOAUE (a se vedea, de asemenea, punctul 24).

Mai multe IOAUE nu fac în mod regulat obiectul unui proces de asigurare independentă cu privire la mecanismele lor de securitate cibernetică

39 Potrivit ISACA24, auditul intern este una dintre cele trei linii esențiale de apărare ale unei organizații, celelalte două fiind managementul și gestionarea riscurilor. Auditurile interne contribuie la îmbunătățirea guvernanței în materie de securitate informatică și de securitate a informațiilor. Curtea a examinat frecvența cu care IOAUE urmăresc să obțină o asigurare independentă cu privire la cadrele lor de securitate informatică, prin audituri interne sau externe și prin testarea proactivă a sistemelor lor de apărare cibernetică.

40 Serviciul de Audit Intern al Comisiei (IAS) este responsabil, printre altele, de efectuarea auditurilor informatice cu privire la Comisie, la agențiile descentralizate, la întreprinderile comune și la SEAE. Mandatul serviciului acoperă 46 (70 %) dintre cele 65 de IOAUE chestionate de Curte. În ultimii cinci ani, IAS a efectuat audituri legate de securitatea informatică cu privire la 6 IOAUE diferite. În plus, DG HR are competența de a efectua inspecții de securitate informatică prin care acoperă aspecte tehnice legate de securitatea informațiilor25. Dintre celelalte IOAUE, 7 au raportat că au propria funcție de audit intern care acoperă aspecte informatice, însă, în cazul a 12 IOAUE, răspunsurile la sondajul Curții nu au fost suficiente pentru a se stabili dacă dispun de o astfel de capacitate de audit intern.

41 Auditurile externe de securitate informatică efectuate de entități independente reprezintă o altă modalitate de a obține o asigurare independentă. În pofida evoluțiilor rapide din peisajul cibernetic, s-a observat că, între începutul anului 2015 și primul trimestru al anului 2021, 34 % dintre IOAUE nu făcuseră obiectul vreunui audit intern sau extern al securității informatice. O defalcare a acestui procent în funcție de tipul de IOAUE arată că, din 2015 încoace, 75 % dintre organele UE, 66 % dintre întreprinderile comune și 45 % dintre misiunile civile nu au făcut obiectul unui audit intern sau extern de securitate informatică.

42 Pe lângă auditurile interne și externe, o altă modalitate prin care organizațiile pot obține o asigurare cu privire la cadrul lor de securitate informatică constă în testarea proactivă a sistemelor lor de apărare cibernetică pentru a identifica vulnerabilitățile. Testele de penetrare (cunoscute și sub denumirea de „hacking etic”), care constau în simularea de atacuri cibernetice autorizate asupra sistemelor informatice individuale, sunt una dintre metodele utilizate în acest scop. Ca răspuns la sondajul Curții, 69 % dintre IOAUE au declarat că au efectuat cel puțin un test de penetrare în ultimii cinci ani. În 45 % dintre cazuri, entitatea care a efectuat testele de penetrare a fost CERT-UE.

43 Exercițiile cu „echipă roșie” reprezintă o altă modalitate de a testa sistemele de apărare cibernetică prin atacuri simulate, cu ajutorul unor tehnici utilizate recent în atacurile din lumea reală. Aceste exerciții sunt mai complexe și mai cuprinzătoare decât testele de penetrare deoarece implică multiple sisteme și căi de atac potențiale. IOAUE efectuează mai rar astfel de exerciții: 46 % dintre IOAUE au raportat cel puțin un exercițiu cu „echipă roșie” în ultimii cinci ani. CERT-UE a efectuat 75 % dintre aceste exerciții. Exercițiile cu „echipă roșie” necesită un volum substanțial de muncă în vederea pregătirii și desfășurării lor, iar CERT-UE are în prezent capacitatea de a efectua cel mult cinci până la șase exerciții pe an.

44 Cu excepția a două IOAUE recent înființate, 16 (25 %) dintre IOAUE chestionate nu efectuaseră teste de penetrare sau exerciții cu „echipă roșie” în ultimii cinci ani. Per ansamblu, șapte IOAUE (10 %), și anume o întreprindere comună, o agenție descentralizată și cinci misiuni civile, nu au făcut obiectul vreunei forme de asigurare independentă cu privire la mecanismele lor de securitate informatică.

IOAUE au instituit mecanisme de cooperare, dar acestea prezintă deficiențe

45 Această secțiune analizează actorii și comitetele instituite pentru a promova cooperarea între IOAUE în domeniul securității cibernetice, precum și guvernanța interinstituțională și mecanismele de coordonare. Mai precis, Curtea a examinat doi actori interinstituționali, ENISA și CERT-UE, și două comitete interinstituționale, Comitetul interinstituțional pentru transformarea digitală (ICDT), în special subgrupul său privind securitatea cibernetică (CSSG), și Comitetul consultativ pentru tehnologiile informației și comunicațiilor (ICTAC). A fost evaluată, de asemenea, măsura în care acestea au generat sinergii pentru a îmbunătăți pregătirea IOAUE în materie de securitate cibernetică.

O structură formalizată permite IOAUE să își coordoneze activitățile, dar există unele probleme de guvernanță

46 ICDT și ICTAC sunt cele două comitete principale care promovează cooperarea în domeniul IT între IOAUE. Format din managerii departamentelor de informatică din instituțiile și organele UE, ICDT este un forum pentru încurajarea schimbului de informații și a cooperării. Acesta are un subgrup pentru securitate cibernetică (CSSG ICDT) care raportează ICDT și poate recomanda luarea de decizii cu privire la aspecte specifice. Pe de altă parte, ICTAC este un subgrup al Rețelei agențiilor UE (EUAN), o rețea informală creată de șefii agențiilor UE, care se axează pe cooperarea în rândul agențiilor și al întreprinderilor comune. Atât ICDT, cât și ICTAC au roluri clar definite și complementare: ICTAC acoperă agențiile descentralizate și întreprinderile comune, în timp ce ICDT acoperă instituțiile și organele. Prin natura lor, ICDT și ICTAC sunt grupuri consultative și forumuri mai degrabă informale pentru schimbul de informații și de bune practici. În anexa II se pot găsi mai multe detalii cu privire la aceste comitete interinstituționale.

Reprezentarea IOAUE în forumurile relevante nu este întotdeauna adecvată

47 Deși structurile de reprezentare sunt clare, nu toate IOAUE consideră că reprezentarea lor efectivă este suficientă. Atunci când li s-a solicitat, în cadrul sondajului Curții, să își spună părerea cu privire la afirmația „Nevoile noastre sunt luate în considerare în mod suficient în cadrul forumurilor interinstituționale de resort, iar organizația noastră se bucură de o reprezentare adecvată în consiliile decizionale”, 42 % din IOAUE au declarat că nu sunt de acord cu această afirmație. Unele dintre cele mai mici IOAUE considerau că nu dispun de resurse suficiente pentru a participa activ la forumurile interinstituționale.

48 Comitetul director al CERT-UE, principalul organism decizional al acestei entități, nu este nici el reprezentativ pentru toate entitățile sale constitutive. CERT-UE furnizează servicii unui număr de 87 de IOAUE, la care se adaugă 3 non-IOAUE. Comitetul său director include însă doar reprezentanți ai celor 11 semnatari ai acordului interinstituțional (cele șapte instituții ale UE plus SEAE, Comitetul Economic și Social, Comitetul Regiunilor și Banca Europeană de Investiții) și un reprezentant al ENISA, fiecare dintre aceștia dispunând de un vot26.

49 Mai mult de jumătate dintre entitățile constitutive ale CERT-UE sunt agenții descentralizate și întreprinderi comune ale UE, care au în total aproximativ 12 000 de angajați. În mod oficial, interesele lor sunt reprezentate în Comitetul director al CERT-UE de către ENISA. Cu toate acestea, mandatul ENISA de a reprezenta agențiile și întreprinderile comune ale UE este slab, deoarece ENISA nu a fost numită sau aleasă în mod direct de către acestea. În practică, punctele de vedere ale agențiilor descentralizate și ale întreprinderilor comune sunt exprimate în reuniunile Comitetului director de către un reprezentant al ICTAC, căruia i se permite să participe pentru a asista ENISA în rolul său de reprezentare a agențiilor. În pofida faptului că exprimă opiniile și interesele a 48 de IOAUE, reprezentantul ICTAC nu are în prezent un loc oficial sau un vot în Comitetul director. În aprilie 2021, ICTAC a trimis președintelui Comitetului director al CERT-UE o cerere oficială privind acordarea unui drept de vot în cadrul comitetului. La momentul redactării prezentului raport, această solicitare nu era încă aprobată. O imagine de ansamblu a reprezentării IOAUE în consiliile și comitetele decizionale este prezentată în figura 6.

Figura 6 – Guvernanța în materie de securitate cibernetică și reprezentarea în consiliile și comitetele decizionale de resort

Sursa: Curtea de Conturi Europeană.

50 Guvernanța interinstituțională a IOAUE în materie de securitate cibernetică este fragmentată și nicio entitate singură nu dispune în prezent de o imagine de ansamblu completă a maturității IOAUE în materie de securitate cibernetică și nici de autoritatea necesară pentru a-și asuma un rol de lider sau pentru a asigura aplicarea unor norme comune obligatorii. Atât ENISA, cât și CERT-UE nu pot decât să „sprijine” și să „asiste” IOAUE. Comitetele de resort nu au putere de decizie și pot numai adresa recomandări către IOAUE. În plus, pentru o cincime din IOAUE chestionate, nu este clar nici unde să se apeleze pentru un anumit serviciu, instrument sau soluție.

Există memorandumuri de înțelegere între actorii-cheie, dar, până în prezent, acestea nu au produs rezultate concrete

51 În mai 2018 a fost semnat un memorandum de înțelegere între ENISA, CERT-UE, Centrul european de combatere a criminalității informatice (EC3) al Europol și Agenția Europeană de Apărare (AEA). Acesta se axa pe cinci domenii de cooperare: schimbul de informații, educarea și formarea, exercițiile cibernetice, cooperarea tehnică și aspecte strategice și administrative. Deși acest memorandum de înțelegere ar putea contribui la evitarea suprapunerilor prin existența unui program de activitate comun, Curtea nu a identificat elemente care să arate că acesta a produs rezultate concrete și acțiuni comune.

52 Regulamentul UE privind securitatea cibernetică, care a intrat în vigoare în iunie 2019, prevedea semnarea unui nou acord de cooperare specific între CERT-UE și ENISA. Trebuie remarcat faptul că a fost nevoie de peste un an și jumătate înainte ca memorandumul de înțelegere să poată fi semnat, în februarie 2021. Acest memorandum de înțelegere încearcă să stabilească o cooperare structurată între CERT-UE și ENISA. El definește domeniile de cooperare dintre cele două entități (consolidarea capacităților, cooperarea operațională, cunoașterea și informarea) și stabilește o repartizare aproximativă a rolurilor între acestea: CERT-UE va coordona asistența oferită IOAUE, ENISA contribuind la acest efort. Memorandumul de înțelegere nu definește modalitățile practice, dat fiind că acestea sunt stabilite într-un plan anual de cooperare. Primul plan anual de cooperare, cel pentru 2021, a fost adoptat de Consiliul de administrație al ENISA în iulie 2021 și de Comitetul director al CERT-UE în septembrie 2021. Prin urmare, este prea devreme pentru ca auditul Curții să evalueze dacă acest plan a produs vreun rezultat tangibil.

53 Întrucât ambele memorandumuri de înțelegere menționate la punctele 51 și 52 au obiective și domenii comune de cooperare, cum ar fi formarea, exercițiile sau schimbul de informații, există un risc de suprapuneri și redundanțe.

Sinergiile care ar putea fi obținute prin cooperare nu sunt încă pe deplin valorificate

S-au făcut pași în direcția obținerii de sinergii

54 Programele de activitate ale comitetelor ICTAC și CSSG ICDT identifică domenii relevante în care se pot obține câștiguri de eficiență prin colaborare. Printre exemplele practice de inițiative care au permis IOAUE să beneficieze de sinergii se numără:

  • contracte-cadru interinstituționale;
  • un centru comun de recuperare în caz de dezastru, găzduit din 2019 de Oficiul Uniunii Europene pentru Proprietate Intelectuală (EUIPO) pentru agențiile descentralizate. Acesta permite o economie de costuri de cel puțin 20 % față de prețurile pieței (nouă agenții au adoptat această soluție de recuperare în caz de dezastru);
  • acorduri între șase întreprinderi comune situate în aceeași clădire pentru a partaja infrastructura comună și un cadru comun de securitate informatică (din 2014).

55 Un alt exemplu important este „GovSec”, un sistem care ajută IOAUE să efectueze evaluări ale riscurilor în vederea adoptării unor soluții de cloud. Potrivit sondajului efectuat de Curte, 75 % dintre IOAUE utilizează deja unele platforme publice de cloud, iar mai multe dintre cele care nu utilizează astfel de soluții intenționează să migreze către cloud. Începând din 2019, Comisia a adoptat o abordare de tipul „cloud-first”, având în vedere o ofertă de servicii hibride sigure de tip multicloud27. De asemenea, Comisia acționează ca broker de soluții de cloud pentru toate IOAUE, în contextul contractului-cadru „Cloud II”. Gestionarea riscurilor în materie de securitate și de protecție a datelor pe platformele de cloud necesită noi competențe și o abordare diferită în comparație cu infrastructura informatică tradițională „de la fața locului”. Gestionarea eficace a riscurilor de securitate a informațiilor în cloud reprezintă o provocare comună pentru IOAUE, iar GovSec este un exemplu de soluție care poate răspunde nevoilor mai multor IOAUE, dacă nu ale tuturor.

Colaborarea și schimbul de practici între IOAUE nu sunt încă optime

56 Existența unor comitete interinstituționale nu conduce în mod automat la sinergii, iar IOAUE nu fac întotdeauna schimb de bune practici, de expertiză, de metodologii și de învățăminte desprinse. În plus, este la latitudinea fiecărei IOAUE să decidă cu privire la nivelul său de implicare în activitatea CSSG ICDT. Membrii CSSG ICDT, în pofida participării la reuniuni, pot contribui doar în măsura în care sarcinile lor obișnuite în cadrul IOAUE o permit, ceea ce a încetinit deja progresele în desfășurarea acțiunilor convenite de unele grupuri operative.

57 Curtea a identificat domenii specifice în care nu există mecanisme prin care IOAUE să facă schimb de experiență și de inițiative. De exemplu, în temeiul contractului-cadru privind capacitatea de apărare a rețelelor (Network Defence Capability), IOAUE pot solicita un studiu pentru a consolida cerințele în materie de securitate cibernetică și pentru a găsi soluții. Nu se ține însă un registru cu astfel de studii efectuate sau solicitate de alte IOAUE. Prin urmare, există posibilitatea ca IOAUE să solicite același studiu de mai multe ori. În plus, IOAUE nu își comunică în mod sistematic faptul că au relații contractuale cu anumiți furnizori sau că utilizează o anumită soluție software. Acest deficit de informație poate duce la costuri suplimentare și la sinergii pierdute.

58 De asemenea, IOAUE nu fac sistematic schimb de informații cu privire la proiectele de securitate cibernetică pe care le întreprind, chiar dacă acestea ar putea avea un impact interinstituțional. Mandatul CSSG ICDT include o dispoziție conform căreia IOAUE trebuie să facă schimb de informații cu privire la noile proiecte care ar putea afecta securitatea cibernetică a altor IOAUE și/sau protecția informațiilor care provin de la acestea. CSSG ICDT nu este însă informat cu privire la astfel de proiecte.

59 Atunci când este creată o nouă agenție, aceasta trebuie să își construiască de la zero infrastructura informatică și cadrul de securitate informatică. Nu există un „catalog al serviciilor”, un set de instrumente sau instrucțiuni/cerințe clare pentru noile agenții. Rezultatul este o eterogenitate substanțială a mediilor informatice din cadrul IOAUE, fiecare organizație având libertatea de a-și achiziționa propriile programe software, propriul hardware, propria infrastructură și propriile servicii în mod independent. În absența unor cerințe și standarde comune, același lucru se întâmplă și în cazul cadrului de securitate informatică. Această situație duce nu numai la o posibilă dublare a eforturilor și utilizare ineficientă a fondurilor UE, dar și la o complexitate sporită pentru CERT-UE în ceea ce privește sprijinul pe care trebuie să îl acorde.

Există deficiențe de ordin practic în schimbul de informații sensibile

60 Unele IOAUE nu dispun nici acum de soluții adecvate pentru schimbul de informații sensibile neclasificate. Cele care au astfel de soluții au adoptat în general propriile produse și sisteme diferite, ceea ce înseamnă că interoperabilitatea devine o problemă. Platformele sigure comune care există răspund exclusiv unor scopuri specifice, un exemplu fiind platformele pe care CERT-UE le pune la dispoziția tuturor entitățile sale constitutive pentru schimbul de informații sensibile cu privire la incidente, amenințări și vulnerabilități.

61 De exemplu, peste 20 % dintre IOAUE nu dispun de un serviciu de e-mail criptat. Cele care utilizează un astfel de serviciu se confruntă adesea cu probleme de interoperabilitate și certificatele nu sunt recunoscute reciproc. ICTAC și ICDT discută de mai mulți ani opțiuni pentru o soluție scalabilă și interoperabilă, iar în 2018 a avut loc un proiect-pilot în acest sens. Această problemă nu a fost încă rezolvată.

62 O altă problemă este absența unor marcaje comune pentru informațiile sensibile neclasificate. Marcajele sunt clasificări care le indică deținătorilor de informații cerințele specifice de protecție pentru informațiile respective. Aceste marcaje diferă de la o IOAUE la alta, complicând astfel schimbul de informații și gestionarea adecvată a acestora.

63 În 2020, pandemia de COVID-19 a obligat IOAUE să adopte pe scară largă soluții de comunicare și de videoconferință pentru a asigura continuitatea activităților. Curtea a identificat cel puțin 15 soluții diferite de software pentru videoconferințe utilizate de IOAUE. Chiar și atunci când diferite IOAUE utilizează aceeași soluție de software/platformă, interoperabilitatea continuă să fie adesea o problemă. În plus, instrucțiunile privind tipurile de informații (din punctul de vedere al sensibilității) care ar putea fi partajate sau discutate pe o anumită platformă diferă de la o IOAUE la alta. Astfel de probleme conduc la ineficiențe economice și operaționale și pot crea potențiale probleme de securitate.

ENISA și CERT-UE nu oferă încă IOAUE tot sprijinul de care acestea au nevoie

64 Pentru această secțiune, Curtea a examinat cele două entități principale care au misiunea de a sprijini IOAUE pe probleme de securitate cibernetică: ENISA și CERT-UE. Curtea a evaluat dacă sprijinul oferit de cele două entități a ajuns la IOAUE și răspunde nevoilor acestora, subliniind motivele de la baza deficiențelor identificate.

ENISA este un actor-cheie în peisajul securității cibernetice din UE, dar sprijinul său a ajuns până în prezent la foarte puține IOAUE

65 În iunie 2019, Regulamentul UE privind securitatea cibernetică28, care a înlocuit temeiul juridic anterior al ENISA29, a intrat în vigoare și a conferit agenției un mandat mai puternic. Mai precis, acesta prevede că ENISA ar trebui să sprijine în mod activ atât statele membre, cât și IOAUE în îmbunătățirea securității cibernetice prin consolidarea capacităților, prin întărirea cooperării operaționale și prin crearea de sinergii. În domeniul consolidării capacităților, ENISA are acum mandatul de a asista IOAUE „în eforturile lor de a îmbunătăți prevenirea, detectarea și analiza amenințărilor cibernetice și a incidentelor […], mai ales printr-un sprijin adecvat acordat CERT-UE”30. De asemenea, ENISA ar trebui să sprijine instituțiile UE în ceea ce privește elaborarea și reexaminarea strategiilor Uniunii referitoare la securitatea cibernetică, promovarea difuzării acestora, precum și urmărirea progreselor înregistrate în punerea lor în aplicare.

66 Deși Regulamentul UE privind securitatea cibernetică afirmă în mod clar că ENISA ar trebui să sprijine IOAUE în îmbunătățirea securității lor cibernetice, această agenție nu a finalizat deocamdată niciun plan de acțiune în legătură cu obiectivul său de a ajuta IOAUE să își consolideze capacitățile (a se vedea caseta 3 pentru detalii).

Caseta 3

Aliniere insuficientă între obiectivul ENISA și realizările legate de IOAUE

Unele dintre prioritățile pe trei ani ale ENISA enumerate în programul multianual de activitate 2018‑2020 în cadrul obiectivului 3.2 „Sprijinirea consolidării capacităților instituțiilor UE” sunt:

  • „să se ofere consiliere proactivă instituțiilor Uniunii cu privire la consolidarea securității rețelelor și a informațiilor (NIS) lor [identificarea priorităților pentru agențiile și organele UE cu cele mai importante nevoi în materie de consolidare a capacităților în domeniul NIS prin stabilirea de interacțiuni periodice cu acestea (de exemplu, ateliere anuale) și axarea pe aceste priorități]”;
  • „să se depună eforturi pentru a sprijini și a facilita activitatea instituțiilor UE în legătură cu abordările privind NIS (stabilirea de parteneriate cu CERT-UE și cu instituții cu capacități solide în domeniul NIS, în vederea sprijinirii acțiunilor sale în cadrul acestui obiectiv)”.

În programele de activitate ale ENISA pentru 2018, 2019 și 2020 există doar două obiective operaționale (realizări) în cadrul obiectivului 3.2:

  • „participarea la Comitetul director al CERT-UE și reprezentarea agențiilor UE care utilizează serviciile CERT-UE”;
  • „cooperarea cu organismele relevante ale UE cu privire la inițiative care acoperă dimensiunea NIS legată de misiunile lor (inclusiv AESA, CERT-UE, AEA, EC3)”.

Obiectivele operaționale nu includ nicio activitate legată de consilierea proactivă. În plus, obiectivul de identificare a priorităților pentru agențiile cu cele mai importante nevoi nu a fost transpus în realizări operaționale, deoarece a fost înlocuit cu obiectivul de a asigura legătura cu agențiile pentru a le reprezenta nevoile în cadrul Comitetului director al CERT-UE.

67 Principalul organ decizional al ENISA este consiliul său de administrație, format din câte un membru numit de fiecare dintre cele 27 de state membre și din doi membri numiți de Comisie31 (a se vedea figura 6). Fiecare membru dispune de un vot, iar deciziile sunt luate cu majoritate de voturi32. Prin urmare, există posibilitatea ca acțiunile vizând statele membre să aibă o prioritate mai mare decât cele referitoare la IOAUE. De exemplu, în programul de activitate al ENISA pentru 2018, Consiliul de administrație a decis, din cauza lipsei de resurse suficiente, să acorde prioritate anumitor activități și să elimine altele trei, una dintre activitățile eliminate fiind „sprijinul pentru evaluarea politicilor/procedurilor/practicilor existente în materie de NIS în cadrul instituțiilor UE”. Scopul acestei activități era de a permite ENISA să construiască o imagine de ansamblu a practicilor IOAUE și a maturității lor orientative în materie de securitate cibernetică, ca bază pentru viitoare acțiuni specifice.

68 Prin urmare, ambiția ENISA de a oferi asistență proactivă pentru IOAUE, astfel cum este exprimată în obiectivele sale strategice, nu s-a materializat în obiective operaționale sau în acțiuni concrete. Până în prezent, sprijinul în domeniul consolidării capacităților și al cooperării operaționale a fost limitat la câteva IOAUE specifice și la cerere.

69 Regulamentul UE privind securitatea cibernetică prevede, de asemenea, că, pentru a sprijini IOAUE în procesul de consolidare a capacităților, ENISA ar trebui să acorde CERT-UE un sprijin adecvat. La momentul auditului, acest sprijin era limitat la câteva acțiuni specifice. De exemplu, în 2019, ENISA a efectuat o evaluare inter pares a CERT-UE, în contextul apartenenței acestuia la rețeaua CSIRT a UE (instituită prin Directiva NIS).

70 Potrivit răspunsurilor la sondajul Curții, ENISA publică rapoarte și orientări de înaltă calitate privind securitatea cibernetică, unele dintre acestea fiind utilizate de IOAUE. Cu toate acestea, nu există orientări specifice pentru IOAUE, care să vizeze mediul și nevoile proprii ale acestora. IOAUE, în special cele mai puțin avansate în materie de securitate cibernetică, au nevoie de orientări practice nu numai cu privire la „ce” să facă, ci și la „cum” să procedeze. Până în prezent, ENISA și CERT-UE au acordat un astfel de sprijin într-un mod limitat și nesistematic.

71 ENISA a desfășurat câteva cursuri de formare privind securitatea cibernetică, adresate în principal autorităților din statele membre, dar la care au participat și un număr limitat de participanți din cadrul IOAUE. Ea a pus la dispoziție doar două cursuri cu învățare autonomă care vizau în mod specific IOAUE. De asemenea, ENISA oferă pe site-ul său materiale de formare online pe care IOAUE le pot accesa, dar, deocamdată, acestea constau în principal în cursuri pentru experți tehnici din CSIRT, nefiind deci utile pentru cea mai mare parte a IOAUE.

72 Pe lângă formare, ENISA poate sprijini IOAUE prin exerciții de securitate cibernetică. În octombrie 2020, ENISA, în cooperare cu CERT-UE, a ajutat la desfășurarea unui exercițiu de securitate cibernetică pentru ICTAC. Acesta a fost singurul exercițiu organizat de ENISA în mod specific pentru participanți din cadrul IOAUE. De asemenea, ENISA a contribuit la organizarea unei serii de exerciții la cererea unor IOAUE (cum ar fi eu-LISA, EMSA, Parlamentul European și Europol), destinate în principal partenerilor lor din cadrul autorităților statelor membre. La aceste exerciții au participat și unii membri ai personalului IOAUE.

73 Regulamentul UE privind securitatea cibernetică a introdus totodată un nou rol pentru ENISA, și anume acela de a acorda asistență pentru IOAUE în legătură cu politicile lor de divulgare a vulnerabilităților, pe bază voluntară. Cu toate acestea, ENISA nu are încă o imagine de ansamblu asupra politicilor fiecărei IOAUE în materie de divulgare a vulnerabilităților și nici nu le sprijină pe acestea în stabilirea și implementarea unor astfel de politici.

CERT-UE este foarte apreciat de către entitățile sale constitutive, dar mijloacele de care centrul dispune nu sunt proporționale cu provocările care există în prezent pe planul securității cibernetice

74 În urma unei serii de inițiative (a se vedea figura 7), o decizie a Comisiei33 a instituit, în septembrie 2012, Centrul de răspuns la incidente de securitate cibernetică (CERT-UE) ca grup operativ permanent pentru IOAUE (a se vedea punctul 08).

Figura 7 – Istoricul CERT-UE

Sursa: Curtea de Conturi Europeană.

75 Deși este independent în desfășurarea operațiunilor sale, CERT-UE rămâne un grup operativ, fără personalitate juridică. Centrul este integrat din punct de vedere administrativ în structurile Comisiei Europene (DG DIGIT), de la care primește sprijin logistic și administrativ. Scopul CERT-UE este de a spori securitatea infrastructurii TIC a IOAUE, prin consolidarea capacității acestora de a face față amenințărilor și vulnerabilităților cibernetice și de a preveni, detecta și răspunde la atacurile cibernetice. CERT-UE are aproximativ 40 de angajați, organizați în echipe de specialiști care se concentrează, de exemplu, pe informații privind amenințările cibernetice, pe criminalistica digitală sau pe răspunsul la incidente.

CERT-UE este un partener apreciat, cu un volum de muncă din ce în ce mai mare

76 CERT-UE solicită feedback și sugestii din partea entităților sale constitutive prin intermediul unor ateliere trimestriale, al unor reuniuni bilaterale anuale și al unor sondaje privind gradul de satisfacție. Acestea din urmă, precum și sondajul realizat de Curte arată că entitățile constitutive sunt în mare măsură mulțumite de serviciile furnizate de CERT-UE. Evoluția catalogului de servicii al CERT-UE atestă eforturile centrului de a se adapta la nevoile IOAUE.

77 În timp ce IOAUE de dimensiuni mari, cu o capacitate internă semnificativă, tind să utilizeze CERT-UE în principal ca platformă pentru schimbul de informații și ca sursă de date operative privind amenințările, IOAUE mai mici se bazează pe CERT-UE pentru o gamă mai largă de servicii, cum ar fi jurnale de monitorizare, teste de penetrare, exerciții cu „echipă roșie” și sprijin pentru răspunsul la incidente. Serviciile CERT-UE sunt deosebit de valoroase pentru IOAUE mai mici, din cauza expertizei lor interne limitate și a lipsei economiilor de scară (a se vedea punctele 31 și 33).

78 CERT-UE și-a consolidat capacitățile și procedurile în ultimii ani, în contextul unei creșteri dramatice a amenințărilor și a incidentelor. Numărul de materiale de informare produse de CERT-UE, în special alerte și note de informare privind amenințările, a crescut constant (figura 8). În 2020, CERT-UE a emis 171 de note privind amenințările și 53 de alerte (mult mai mult decât cele 80 de note și 40 de alerte pe care se preconiza inițial că le va emite).

Figura 8 – Creșterea numărului de materiale cu informații privind amenințările cibernetice

Sursa: Curtea de Conturi Europeană, pe baza datelor CERT-UE.

79 De asemenea, CERT-UE sprijină IOAUE în gestionarea incidentelor cibernetice. Dacă 52 % dintre IOAUE au o echipă internă de intervenție sau cel puțin un coordonator în caz de incidente, restul de 48 % se bazează în cazul unui incident pe CERT-UE și/sau pe alți furnizori externi. Cu toate acestea, chiar și IOAUE mari cu capacitate internă de răspuns pot solicita sprijin din partea CERT-UE pentru a face față unor incidente complexe.

80 Numărul total de incidente gestionate de CERT-UE a crescut de la 561 în 2019 la 884 în 2020. Incidentele semnificative, în special, au crescut de la doar unul în 2018 la 13 în 2020. În 2021, numărul incidentelor semnificative ajunsese la 17, în creștere față de 13 în 2020, care fusese de asemenea un an record. Aceste incidente semnificative sunt provocate în general de amenințări extrem de sofisticate. Ele pot afecta mai multe IOAUE, pot implica luarea contactului cu autoritățile, iar investigarea și eradicarea lor de către CERT-UE necesită de regulă săptămâni sau chiar luni de muncă pentru părțile afectate.

81 Totodată, CERT-UE este principalul furnizor de evaluări și teste proactive ale sistemelor de apărare cibernetică ale IOAUE. Un rezumat al activității CERT-UE în acest domeniu este prezentat în figura 9 de mai jos. În plus, începând din 2020, CERT-UE efectuează și scanări externe ale rețelelor.

Figura 9 – Teste și evaluări efectuate de CERT-UE

Sursa: Curtea de Conturi Europeană, pe baza datelor CERT-UE.

Entitățile constitutive nu partajează informații relevante cu CERT-UE în timp util

82 Acordul interinstituțional34 prevede că entitățile constitutive trebuie să informeze CERT-UE cu privire la incidentele de securitate cibernetică semnificative. Or, în practică, nu s-a întâmplat așa. Acordul interinstituțional nu prevede un mecanism de asigurare a raportării obligatorii și în timp util a incidentelor „semnificative” de către entitățile constitutive ale CERT-UE. Definiția generică dată „incidentelor semnificative” în Acordul interinstituțional lasă raportarea sau nu a unui incident la latitudinea IOAUE. Potrivit conducerii CERT-UE, unele entități constitutive nu au comunicat în timp util informații cu privire la incidente semnificative, ceea ce a avut un impact negativ asupra rolului CERT-UE de platformă pentru schimbul de informații în materie de securitate cibernetică și de centru de coordonare a răspunsului la incidente pentru toate IOAUE. De exemplu, o entitate constitutivă care se confrunta cu o amenințare foarte sofisticată nu a informat CERT-UE și nici nu a solicitat sprijinul acestuia. Acest lucru a împiedicat CERT-UE să colecteze informații operative privind amenințarea cibernetică, informații care ar fi fost utile în a sprijini alte entități constitutive confruntate cu aceeași amenințare. Cel puțin șase IOAUE au fost afectate de acest atac.

83 De asemenea, entitățile constitutive nu au partajat în mod activ informații în timp util cu CERT-UE cu privire la amenințările și vulnerabilitățile care le afectau în materie de securitate cibernetică, în pofida faptului că Acordul interinstituțional35 le impune să facă acest lucru. Echipa de răspuns la incidente și de criminalistică digitală a CERT-UE nu a primit notificări privind existența unor vulnerabilități sau deficiențe ale controalelor descoperite în afara contextului incidentelor pe care echipa le investighează în mod activ. Entitățile constitutive nu partajează în mod proactiv constatările relevante ale auditurilor interne sau externe privind securitatea.

84 În plus, Acordul interinstituțional nu prevede obligația IOAUE de a informa CERT-UE cu privire la schimbările semnificative din mediul lor informatic. Prin urmare, entitățile constitutive nu au informat în mod sistematic CERT-UE cu privire la modificările relevante. De exemplu, IOAUE nu informează întotdeauna CERT-UE cu privire la orice modificare a gamelor lor de adrese IP (și anume lista adreselor de internet din cadrul infrastructurii lor). CERT-UE are nevoie de aceste game actualizate pentru a efectua, de exemplu, scanări atunci când sunt descoperite vulnerabilități majore. Dacă IOAUE nu informează CERT-UE cu privire la astfel de modificări, capacitatea centrului de a le sprijini este afectată. Nerespectarea obligației de informare a CERT-UE are un impact și asupra capacității sale de a monitoriza sistemele și înseamnă mai multe eforturi pentru a corecta datele inexacte din instrumentele de monitorizare. Potrivit conducerii sale, CERT-UE descoperă uneori, atunci când gestionează un incident, o infrastructură IT pe care nu o cunoștea până la acel moment. În plus, pe lângă cazurile specifice, CERT-UE nu dispune în prezent de o imagine de ansamblu cuprinzătoare a sistemelor și rețelelor informatice ale comunității IOAUE.

85 În lipsa unui mecanism de asigurare a respectării Acordului interinstituțional, notificările din partea IOAUE către CERT-UE – un element esențial în crearea unei comunități IOAUE de pregătire cibernetică centrată în jurul CERT-UE – vor rămâne nesistematice.

Resursele CERT-UE nu sunt stabile și nici proporționale cu nivelul actual de amenințare

86 Acordul interinstituțional36 prevede că „CERT-UE ar trebui să beneficieze de resurse financiare și de personal durabile, asigurând totodată cel mai bun raport calitate-preț și un nucleu adecvat de personal permanent”. Cel mai important atu al CERT-UE este personalul său înalt calificat și specializat. Figura 10 arată evoluția efectivului de personal al CERT-UE de la înființarea sa în 2011 până în prezent.

87 Peste două treimi din angajații CERT-UE au contracte temporare. Salariul lor nu este foarte competitiv în raport cu ce se oferă pe piață pentru experții în securitate cibernetică și, potrivit conducerii CERT-UE, recrutarea și păstrarea lor a devenit din ce în ce mai dificilă. Atunci când salariile nu sunt suficient de atractive pentru candidații cu experiență, CERT-UE trebuie să recurgă la angajarea de persoane mai puțin experimentate și să investească timp în formarea acestora. În plus, contractele au o durată maximă de șase ani, ceea ce înseamnă că CERT-UE nu are altă opțiune decât să își lase agenții contractuali să plece tocmai în momentul în care au acumulat nivelul optim de experiență. Rata de rotație a personalului a fost deosebit de ridicată în 2020: 21 % dintre angajați au părăsit CERT-UE și nu au putut fi toți înlocuiți cu persoane nou-recrutate. În ceea ce privește situația din anii anteriori, în 2019 a plecat 9 % din personal, iar în 2018, 13 %.

Figura 10 – Resursele CERT-UE și provocările cu care acesta se confruntă

Sursa: Curtea de Conturi Europeană, pe baza datelor CERT-UE.

88 Conducerea CERT-UE a subliniat că, în prezent, echipa de criminalistică digitală și de răspuns la incidente din cadrul CERT-UE este frecvent suprasolicitată, iar celelalte echipe nu pot ține pasul cu cererea. Prin urmare, CERT-UE a fost forțat să își reducă activitățile. De exemplu, din cauza lipsei de resurse, centrul nu efectuează în prezent evaluări ale maturității cibernetice a entităților sale constitutive. Serviciul CERT-UE de „alerte privind activități suspecte” a devenit operațional mai târziu decât se preconizase, tot din cauza lipsei de resurse. În plus, mai multe entități constitutive intervievate de Curte au menționat timpul îndelungat pe care au trebuit să îl aștepte pentru a avea acces la serviciile CERT-UE.

89 Până în prezent, constrângerile în materie de resurse au forțat CERT-UE să se concentreze în special pe protejarea infrastructurii informatice convenționale „de la fața locului” împotriva amenințărilor majore din partea grupurilor (de obicei sprijinite de diverse țări) care prezintă amenințări persistente avansate. Însă, potrivit conducerii sale, perimetrul IT extins al IOAUE (care include în prezent cloudul, dispozitivele mobile și instrumentele de telemuncă) necesită o monitorizare și o protecție sporite, iar amenințările de nivel inferior (cum ar fi criminalitatea informatică și ransomware) necesită, de asemenea, o atenție sporită.

90 Acordul interinstituțional nu prevede că CERT-UE trebuie să asigure o capacitate operațională de 24 de ore pe zi, șapte zile pe săptămână. În prezent, centrul nu dispune de resursele necesare sau de cadrul adecvat în materie de resurse umane pentru a funcționa dincolo de programul său de lucru pe o bază permanentă și structurată, deși este clar faptul că atacurile cibernetice nu respectă orele de birou. În cazul IOAUE, doar 35 dintre cele 65 de organizații chestionate au un responsabil IT accesibil în afara orelor de lucru.

91 Pentru a finanța operațiunile CERT-UE, Comitetul director a aprobat, în 2012, un model de acord privind nivelul serviciilor. Toate entitățile constitutive beneficiază gratuit de servicii de bază și pot plăti pentru a achiziționa servicii extinse, prin semnarea unui astfel de acord. Bugetul CERT-UE pentru 2020 a fost de 3 745 000 de euro, din care 6 % a fost finanțat de la bugetul UE, iar 94 % din acorduri privind nivelul serviciilor. Entitățile constitutive sunt însă foarte diferite: unele au cerințe avansate în materie de securitate informatică, în timp ce altele au bugete IT modeste și un nivel foarte scăzut de maturitate în materie de securitate cibernetică. Din acest motiv, discuțiile legate de un acord privind nivelul serviciilor au ca rezultat o combinație de cerințe de securitate ridicate pentru unele IOAUE și o relativă lipsă de voință sau de capacitate de a contribui din partea altora.

92 În plus, aceste acorduri trebuie reînnoite separat în fiecare an. Pe lângă faptul că reprezintă o sarcină administrativă, acest lucru creează probleme legate de fluxul de numerar, întrucât fondurile pe care CERT-UE le primește în temeiul acordurilor nu ajung toate în același timp. În plus, agențiile pot rezilia acordurile în orice moment. Acest lucru riscă să debuteze un cerc vicios în care, din cauza pierderii de venituri, CERT-UE este nevoit să își reducă serviciile și nu poate ține pasul cu cererea, determinând alte IOAUE să își rezilieze acordurile și să se mute la furnizori privați. Având în vedere aceste considerente, actualul model de finanțare nu este ideal pentru asigurarea unui nivel stabil și optim al serviciilor.

93 Confruntat cu o evoluție rapidă a peisajului amenințărilor cibernetice (a se vedea punctele 06 și 80), Comitetul director al CERT-UE, în cadrul reuniunii sale din 19 februarie 2020, a aprobat o propunere strategică în temeiul căreia CERT-UE ar urma să își extindă serviciile de securitate cibernetică și să dezvolte „capacități operaționale depline”. Propunerea era însoțită de o analiză a nevoilor de personal și de finanțare ale CERT-UE. Această analiză a concluzionat că CERT-UE are nevoie de 14 posturi suplimentare de administrator permanent, adăugate treptat în perioada 2021‑2023. CERT-UE ar putea funcționa apoi la capacitate maximă începând din 2023. În ceea ce privește finanțarea, propunerea arată că CERT-UE ar avea nevoie să își majoreze bugetul cu 7,6 milioane de euro în perioada 2021‑2023, pentru a ajunge la 11,3 milioane de euro în 2024.

94 Cu toate acestea, deși au aprobat propunerea strategică privind furnizarea de resurse suplimentare pentru CERT-UE, IOAUE nu au ajuns încă la un acord cu privire la modalitățile practice, în primul rând pentru perioada intermediară 2021‑2023 și, în al doilea rând, pe termen lung după intrarea în vigoare a viitorului regulament privind securitatea cibernetică (a se vedea punctul 12).

Concluzii și recomandări

95 Curtea concluzionează că nivelul de pregătire cibernetică al comunității instituțiilor, organelor și agențiilor UE (IOAUE) nu este proporțional cu amenințările. Activitatea Curții arată că IOAUE au niveluri diferite de maturitate în domeniul securității cibernetice și, întrucât sunt adesea interconectate, nu numai între ele, ci și cu organizații publice și private din statele membre, punctele slabe în materie de securitate cibernetică ale unei IOAUE pot expune mai multe alte organizații la amenințări cibernetice.

96 S-a constatat că principalele bune practici în materie de securitate cibernetică (inclusiv unele controale esențiale) nu erau întotdeauna implementate. Buna guvernanță în materie de securitate cibernetică este esențială pentru securitatea informațiilor și a sistemelor informatice, dar nu a fost încă introdusă în unele IOAUE: în multe cazuri, planurile și strategiile de securitate informatică lipsesc sau nu sunt aprobate de conducerea superioară, politicile de securitate nu sunt întotdeauna formalizate, iar evaluările riscurilor nu acoperă întregul mediu informatic. Cheltuielile cu securitatea cibernetică sunt inegale, unele IOAUE cheltuind în mod clar mai puțin decât alte IOAUE de dimensiuni similare (a se vedea punctele 21-33 și 37-38).

97 Programele de sensibilizare și de formare în domeniul cibernetic reprezintă un element-cheie al unui cadru eficace în materie de securitate cibernetică. Cu toate acestea, doar 29 % dintre IOAUE asigură cursuri obligatorii de formare în materie de securitate cibernetică pentru managerii responsabili de sistemele informatice care conțin informații sensibile, iar instruirea oferită este adesea informală. În ultimii cinci ani, 55 % dintre IOAUE au organizat una sau mai multe campanii de phishing simulate (sau exerciții similare). Aceste exerciții reprezintă un instrument important de formare și sensibilizare a personalului, dar IOAUE nu le utilizează în mod sistematic (a se vedea punctele 34-36). În plus, nu toate IOAUE fac în mod regulat obiectul unui proces de asigurare independentă în materie de securitate cibernetică (a se vedea punctele 39-44).

98 CERT-UE este foarte apreciat de acele IOAUE pe care le deservește, dar capacitatea sa este suprasolicitată. Volumul de muncă al centrului, în ceea ce privește informațiile privind amenințările și gestionarea incidentelor, a crescut rapid din 2018. Numărul incidentelor semnificative de securitate cibernetică a crescut de peste zece ori. În același timp, IOAUE nu comunică întotdeauna centrului în timp util informații cu privire la incidentele semnificative, la vulnerabilități și la modificările importante ale infrastructurii lor informatice. Acest lucru are un impact asupra eficacității CERT-UE, împiedicându-l să alerteze alte IOAUE care ar putea fi amenințate, și poate avea drept consecință nedetectarea unor incidente semnificative. În plus, resursele CERT-UE nu sunt stabile și, în prezent, nu sunt proporționale cu nivelul actual de amenințare sau cu nevoile IOAUE. O propunere strategică privind furnizarea resurselor suplimentare necesare pentru CERT-UE a fost aprobată de Comitetul director al centrului în 2020, dar entitățile constitutive nu au ajuns încă la un acord cu privire la modalitățile practice de furnizare a acestor resurse. Prin urmare, personalul CERT-UE nu poate ține pasul cu cererea și este obligat să își reducă activitățile (a se vedea punctele 74-93).

Recomandarea 1 – Îmbunătățirea nivelului de pregătire în materie de securitate cibernetică al tuturor IOAUE, prin norme obligatorii comune și prin resurse sporite pentru CERT-UE

Comisia ar trebui să includă următoarele principii în viitoarea sa propunere de regulament privind măsuri pentru un nivel comun ridicat de securitate cibernetică în toate IOAUE:

  1. personalul de conducere de nivel superior ar trebui să își asume responsabilitatea pentru guvernanța în materie de securitate cibernetică, prin aprobarea de strategii și politici-cheie în domeniu și prin desemnarea unui responsabil independent pentru securitatea sistemelor informatice (sau a unui rol echivalent);
  2. IOAUE ar trebui să dispună de un cadru de gestionare a riscurilor în materie de securitate informatică prin care să fie acoperită întreaga lor infrastructură informatică și să efectueze evaluări periodice ale riscurilor;
  3. IOAUE ar trebui să asigure o formare sistematică în vederea sensibilizării în materie a întregului personal, inclusiv a conducerii;
  4. IOAUE ar trebui să asigure audituri și teste periodice ale sistemelor lor de apărare cibernetică. Auditurile ar trebui să acopere, de asemenea, caracterul adecvat al resurselor consacrate securității cibernetice;
  5. IOAUE ar trebui să raporteze fără întârziere către CERT-UE cu privire la incidentele semnificative de securitate cibernetică și la schimbările și vulnerabilitățile relevante legate de infrastructura lor informatică;
  6. IOAUE ar trebui să mărească nivelul resurselor alocate pentru CERT-UE și să identifice ca atare aceste alocări în bugetele lor, în conformitate cu nevoile identificate în propunerea strategică aprobată de Comitetul său director;
  7. regulamentul ar trebui să includă dispoziții privind desemnarea unei entități care să reprezinte toate IOAUE și care să aibă mandatul și mijloacele adecvate pentru a monitoriza respectarea de către toate IOAUE a normelor comune în materie de securitate cibernetică și pentru a emite orientări, recomandări și apeluri la acțiune.

Data-țintă pentru punerea în aplicare a recomandării: trimestrul 1 din 2023.

99 IOAUE au instituit mecanisme de cooperare în domeniul securității cibernetice, dar Curtea a observat că sinergiile potențiale nu sunt valorificate pe deplin. Există o structură formalizată pentru schimbul de informații, cu diferiți actori și comitete care au roluri complementare. Cu toate acestea, participarea unor IOAUE mai mici la forumuri interinstituționale suferă din cauza resurselor limitate, iar reprezentarea agențiilor descentralizate și a întreprinderilor comune în cadrul Comitetului director al CERT-UE nu este optimă. Curtea a constatat, de asemenea, că IOAUE nu își comunică reciproc și sistematic informații legate de proiectele privind securitatea cibernetică, de evaluările de securitate și de alte contracte de servicii. Acest lucru poate duce la dublarea eforturilor și la costuri mai mari. Au fost observate dificultăți operaționale în ceea ce privește schimbul de informații sensibile neclasificate, prin e-mail criptat sau prin videoconferință, din cauza lipsei de interoperabilitate a soluțiilor informatice, a unor instrucțiuni inconsecvente privind utilizarea permisă a acestora și a lipsei unor marcaje comune pentru astfel de informații, precum și din cauza absenței unor norme comune de gestionare a acestora (a se vedea punctele 45-63).

Recomandarea 2 – Promovarea unor sinergii suplimentare între IOAUE în anumite domenii

În contextul Comitetului interinstituțional pentru transformarea digitală, Comisia ar trebui să promoveze în rândul IOAUE următoarele acțiuni:

  1. să adopte soluții pentru interoperabilitatea canalelor de comunicare securizate, de la e-mail criptat la videoconferințe, și să promoveze marcaje comune și norme comune de gestionare pentru informațiile sensibile neclasificate;
  2. să partajeze sistematic informații cu privire la proiectele legate de securitatea cibernetică cu un posibil impact interinstituțional, la evaluări ale securității vizând software-ul și la contractele în vigoare cu furnizori externi;
  3. să definească specificații pentru achiziții publice comune și contracte-cadru comune vizând servicii de securitate cibernetică, la care să poată participa toate IOAUE pentru a stimula economiile de scară.

Data-țintă pentru punerea în aplicare a recomandării: trimestrul 4 din 2023.

100 Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) și CERT-UE sunt cele două entități principale însărcinate cu sprijinirea IOAUE în materie de securitate cibernetică. Totuși, din cauza constrângerilor legate de resurse și a faptului că se acordă prioritate altor domenii, acestea nu au fost în măsură să ofere IOAUE tot sprijinul necesar, în special în ceea ce privește consolidarea capacităților IOAUE mai puțin avansate în domeniul securității cibernetice (a se vedea punctele 64-93).

Recomandarea 3 – Intensificarea accentului pus de CERT-UE și de ENISA pe acele IOAUE mai puțin avansate în domeniul securității cibernetice

CERT-UE și ENISA ar trebui:

  1. să identifice domeniile prioritare în care IOAUE au cea mai mare nevoie de sprijin, de exemplu prin evaluări ale maturității în materie de securitate cibernetică;
  2. să desfășoare acțiuni de consolidare a capacităților, în conformitate cu memorandumul de înțelegere.

Data-țintă pentru punerea în aplicare a recomandării: trimestrul 4 din 2022.

Prezentul raport a fost adoptat de Camera III, condusă de doamna Bettina Jakobsen, membră a Curții de Conturi, la Luxemburg, în data de 22 februarie 2022.

 

Pentru Curtea de Conturi

Klaus-Heiner LEHNE
Președinte

Anexe

Anexa I – Lista de IOAUE care au făcut obiectul sondajului

Denumire Tip
Parlamentul European Instituție [articolul 13 alineatul (1) TUE]
Consiliului Uniunii Europene și Consiliul European Instituție [articolul 13 alineatul (1) TUE]
Comisia Europeană Instituție [articolul 13 alineatul (1) TUE]
Curtea de Justiție a Uniunii Europene (CJUE) Instituție [articolul 13 alineatul (1) TUE]
Banca Centrală Europeană (BCE) Instituție [articolul 13 alineatul (1) TUE]
Curtea de Conturi Europeană Instituție [articolul 13 alineatul (1) TUE]
Serviciul European de Acțiune Externă (SEAE) Organ [articolul 27 alineatul (3) TUE]
Comitetul Economic și Social European (CESE) și Comitetul European al Regiunilor (CoR)37 Organe [articolul 13 alineatul (4) TUE]
Banca Europeană de Investiții (BEI) Organ [articolul 308 TFUE>
Autoritatea Europeană a Muncii (ELA) Agenție descentralizată
Agenția Uniunii Europene pentru Cooperarea Autorităților de Reglementare din Domeniul Energiei (ACER) Agenție descentralizată
Oficiul Organismului Autorităților Europene de Reglementare în Domeniul Comunicațiilor Electronice (Oficiul OAREC) Agenție descentralizată
Oficiul Comunitar pentru Soiuri de Plante (OCSP) Agenție descentralizată
Agenția Europeană pentru Sănătate și Securitate în Muncă (EU-OSHA) Agenție descentralizată
Agenția Europeană pentru Poliția de Frontieră și Garda de Coastă (Frontex) Agenție descentralizată
Agenția Uniunii Europene pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție (eu-LISA) Agenție descentralizată
Agenția Uniunii Europene pentru Azil (EUAA) Agenție descentralizată
Agenția Uniunii Europene pentru Siguranța Aviației (AESA) Agenție descentralizată
Autoritatea Bancară Europeană (ABE) Agenție descentralizată
Centrul European de Prevenire și Control al Bolilor (ECDC) Agenție descentralizată
Centrul European pentru Dezvoltarea Formării Profesionale (Cedefop) Agenție descentralizată
Agenția Europeană pentru Produse Chimice (ECHA) Agenție descentralizată
Agenția Europeană de Mediu (AEM) Agenție descentralizată
Agenția Europeană pentru Controlul Pescuitului (EFCA) Agenție descentralizată
Autoritatea Europeană pentru Siguranța Alimentară (EFSA) Agenție descentralizată
Fundația Europeană pentru Îmbunătățirea Condițiilor de Viață și de Muncă (Eurofound) Agenție descentralizată
Agenția Uniunii Europene pentru Programul spațial [care va înlocui Agenția GNSS European – GSA] (EUSPA) Agenție descentralizată
Institutul European pentru Egalitatea de Șanse între Femei și Bărbați (EIGE) Agenție descentralizată
Autoritatea Europeană pentru Asigurări și Pensii Ocupaționale (EIOPA) Agenție descentralizată
Agenția Europeană pentru Siguranță Maritimă (EMSA) Agenție descentralizată
Agenția Europeană pentru Medicamente (EMA) Agenție descentralizată
Observatorul European pentru Droguri și Toxicomanie (OEDT) Agenție descentralizată
Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) Agenție descentralizată
Agenția Uniunii Europene pentru Formare în Materie de Aplicare a Legii (CEPOL) Agenție descentralizată
Oficiul European de Poliție (Europol) Agenție descentralizată
Agenția Uniunii Europene pentru Căile Ferate (ERA) Agenție descentralizată
Autoritatea Europeană pentru Valori Mobiliare și Piețe (ESMA) Agenție descentralizată
Fundația Europeană de Formare (ETF) Agenție descentralizată
Agenția pentru Drepturi Fundamentale a Uniunii Europene (FRA) Agenție descentralizată
Oficiul Uniunii Europene pentru Proprietate Intelectuală [cunoscut sub denumirea de OAPI până la 23 martie 2016] (EUIPO) Agenție descentralizată
Comitetul Unic de Rezoluție (SRB) Agenție descentralizată
Agenția Uniunii Europene pentru Cooperare în Materie de Justiție Penală (Eurojust) Agenție descentralizată
Centrul de Traduceri pentru Organismele Uniunii Europene (CdT) Agenție descentralizată
Parchetul European (EPPO) Agenție descentralizată
Institutul European de Inovare și Tehnologie (EIT) Organism creat în temeiul politicii pentru cercetare și inovare
Întreprinderea comună de cercetare în domeniul managementului traficului aerian din cadrul cerului unic european (SESAR) Întreprindere comună în temeiul TFUE
Întreprinderea comună „Componente și sisteme electronice pentru o poziție de lider a Europei” (ECSEL) Întreprindere comună în temeiul TFUE
Întreprinderea comună „Pile de combustie și hidrogen 2” (FCH 2) Întreprindere comună în temeiul TFUE
Întreprinderea comună referitoare la inițiativa privind medicamentele inovatoare 2 (IMI 2) Întreprindere comună în temeiul TFUE
Întreprinderea comună Clean Sky 2 (Clean Sky 2) Întreprindere comună în temeiul TFUE
Întreprinderea comună pentru bioindustrii (BBI) Întreprindere comună în temeiul TFUE
Întreprinderea comună Shift2Rail (S2R) Întreprindere comună în temeiul TFUE
Întreprinderea europeană comună pentru calculul de înaltă performanță (EuroHPC) Întreprindere comună în temeiul TFUE
Întreprinderea comună europeană pentru ITER – Fuziune pentru energie (F4E) Întreprindere comună în temeiul TFUE
Misiunea Uniunii Europene de consiliere în Ucraina (EUAM Ucraina) Misiune civilă (PSAC)
Misiunea de asistență a Uniunii Europene pentru gestionarea integrată a frontierelor în Libia (EUBAM Libia) Misiune civilă (PSAC)
Misiunea UE de consolidare a capacităților în Niger (EUCAP Sahel Niger) Misiune civilă (PSAC)
Misiunea de monitorizare a Uniunii Europene în Georgia (EUMM Georgia) Misiune civilă (PSAC)
Misiunea de poliție a Uniunii Europene pentru teritoriile palestiniene (EUPOL COPPS) Misiune civilă (PSAC)
Misiunea UE de consiliere în Republica Centrafricană (EUAM Republica Centrafricană) Misiune civilă (PSAC)
Misiunea UE de consiliere în Irak (EUAM Irak) Misiune civilă (PSAC)
Misiunea de asistență la frontieră a UE pentru punctul de trecere Rafah (EUBAM Rafah) Misiune civilă (PSAC)
Misiunea UE de consolidare a capacităților în Mali (EUCAP Sahel Mali) Misiune civilă (PSAC)
Misiunea UE de consolidare a capacităților în Somalia (EUCAP Somalia) Misiune civilă (PSAC)
Misiunea UE de sprijinire a supremației legii în Kosovo (EULEX KOSOVO) Misiune civilă (PSAC)

Anexa II – Informații suplimentare privind principalele comitete interinstituționale

Comitetul interinstituțional pentru transformarea digitală (ICDT – Interinstitutional Committee for the Digital Transformation)

ICDT este un forum pentru schimbul de informații și promovarea cooperării în domeniul IT. Acesta a fost înființat în mai 2020, înlocuind fostul Comité Interinstitutionnel de l’Informatique (CII). ICDT este alcătuit din managerii departamentelor de informatică din cadrul IOAUE. Comitetul dispune de un subgrup pentru securitate cibernetică (CSSG ICDT), al cărui rol este de a promova cooperarea dintre IOAUE în materie de securitate cibernetică și de a servi drept forum pentru schimbul de informații.

Competența decizională a ICDT se limitează la chestiuni care nu afectează „modul în care instituțiile își îndeplinesc misiunea” sau „guvernanța din cadrul fiecărei instituții”. Pentru deciziile care depășesc domeniul său de competență, ICDT poate adresa recomandări colegiului de secretari generali ai instituțiilor și organelor UE.

Conform mandatului ICDT, membrii săi sunt reprezentanți din partea fiecărei instituții/organ UE, la care se adaugă un reprezentant desemnat de agențiile UE (ICTAC). ICDT este prezidat actualmente de Secretariatul General al Consiliului.

Subgrupul pentru securitate cibernetică al ICDT (CSSG ICDT)

CSSG ICDT, în configurația sa actuală, a fost înființat în septembrie 2020, înlocuind subgrupul permanent pentru securitate al fostului CII. În comparație cu predecesorul său, CSSG ICDT are o abordare mai structurată, mai ambițioasă și mai orientată spre rezultate. Activitățile sale sunt desfășurate de grupuri operative (GO), care se reunesc periodic și se axează pe aspecte-cheie comune:

  • GO1 „Standarde comune, analiză comparativă și maturitate”
  • GO2 „Platforme de partajare, metode, instrumente și contracte”
  • GO3 „Securitatea în cloud”
  • GO4 „Dezvoltarea competențelor cibernetice”
  • GO5 „Sensibilizarea în domeniul cibernetic”
  • GO6 „Securitatea videoconferințelor”

În conformitate cu mandatul CSSG, secretariatul acestuia este responsabil de monitorizarea și raportarea periodică cu privire la evoluția activităților grupurilor operative. Acesta prezintă rapoarte periodice președintelui și vicepreședintelui subgrupului pentru securitate cibernetică al ICDT, colectând în mod regulat contribuții de la coordonatorii grupurilor operative. La sfârșitul fiecărui an, CSSG trebuie să prezinte un scurt raport de activitate.

CSSG ICDT este prezidat actualmente de Comisie, un reprezentant al ICTAC deținând rolul de vicepreședinte. Deși CSSG nu are putere de decizie, acesta poate recomanda ICDT decizii cu privire la chestiuni relevante.

Rețeaua agențiilor

Rețeaua agențiilor UE (EUAN) este o rețea informală înființată de șefii agențiilor UE în 2012. EUAN cuprinde în prezent 48 de agenții descentralizate și întreprinderi comune ale UE. Scopul său este de a oferi o platformă de schimb și cooperare pentru membrii rețelei în domenii de interes comun. Comitetul consultativ TIC (ICTAC) este un subgrup al EUAN responsabil cu promovarea cooperării în domeniul TIC, inclusiv în domeniul securității cibernetice.

Comitetul consultativ pentru tehnologiile informației și comunicațiilor (ICTAC – Information and Communications Technologies Advisory Committee)

ICTAC promovează cooperarea între agenții și întreprinderile comune în domeniul TIC. Misiunea sa este de a găsi soluții viabile și economice la probleme comune, de a face schimb de informații și de a adopta poziții comune, după caz. În conformitate cu mandatul ICTAC, adunările generale care reunesc toți membrii comitetului au loc de două ori pe an. De asemenea, au loc reuniuni periodice lunare între reprezentanții ICTAC în cadrul grupurilor operative ale CSSG, reprezentantul ICTAC în cadrul CSSG și „troica” ICTAC. Troica este formată din președintele în funcție, președintele anterior și președintele viitor al ICTAC (președintele are un mandat de un an). Rolul troicii este de a sprijini președintele în funcție cu privire la toate aspectele legate de rolul său, inclusiv substituirea sa, dacă circumstanțele impun acest lucru.

Acronime

CERT-UE: Centrul de răspuns la incidente de securitate cibernetică pentru instituțiile, organele și agențiile UE

CIS: sisteme de comunicații și informații

CISO: responsabil pentru securitatea sistemelor informatice

CSIRT: centru de răspuns la incidente de securitate cibernetică

CSSG ICDT: Subgrupul pentru securitatea cibernetică din cadrul Comitetului interinstituțional pentru transformarea digitală

DG DIGIT: Direcția Generală Informatică

DG HR: Direcția Generală Resurse Umane și Securitate

ENI: echivalent normă întreagă

ENISA: Agenția Uniunii Europene pentru Securitate Cibernetică

EUAN: Rețeaua agențiilor Uniunii Europene

eu-LISA: Agenția Europeană pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție

ICDT: Comitetul interinstituțional pentru transformarea digitală

ICTAC: Comitetul consultativ pentru tehnologia informației și comunicațiilor

IOAUE: instituțiile, organele și agențiile Uniunii Europene

ISACA: Asociația de Audit și Control al Sistemelor Informatice

ITCB: Consiliul pentru tehnologia informației și securitatea cibernetică

NIS: securitatea rețelelor și a informațiilor

TIC: tehnologia informației și comunicațiilor

Glosar

Amenințare persistentă avansată: atac prin care un utilizator neautorizat accesează un sistem sau o rețea pentru a fura date sensibile și rămâne în sistem/rețea pentru o perioadă lungă de timp.

Centrul de răspuns la incidente de securitate cibernetică pentru instituțiile, organele și agențiile UE: centrul pentru schimbul de informații și pentru coordonarea răspunsului la incidente, ai cărui clienți („entități constitutive”) sunt instituțiile, organele și agențiile UE.

Ciberspațiu: mediul online global în care persoanele, programele informatice și serviciile comunică prin rețele de computere și alte dispozitive conectate.

Exercițiu cu „echipă roșie”: simulare realistă a atacurilor cibernetice prin utilizarea elementului surpriză și a unor tehnici observate recent în lumea reală, concentrându-se pe obiective specifice prin mai multe căi de atac.

Inginerie socială: în domeniul securității informațiilor, acest concept desemnează o practică de manipulare psihologică al cărei scop este de a păcăli victimele, convingându-le să întreprindă o anumită acțiune sau să partajeze informații confidențiale.

Phishing: trimiterea unor e-mailuri care par să provină dintr-o sursă sigură cu scopul de a induce în eroare destinatarii și a-i convinge să deschidă linkuri răuvoitoare sau să partajeze date cu caracter personal.

Securitatea cibernetică: măsuri de protejare a rețelelor și a infrastructurii informatice, precum și a informațiilor pe care acestea le conțin, împotriva amenințărilor externe.

Spionaj cibernetic: actul sau practica de a obține secrete și informații de pe internet, din rețele sau din computere individuale fără permisiunea și cunoștința deținătorului informațiilor.

Test de penetrare cibernetică: metodă de evaluare a securității unui sistem informatic prin încercarea de a viola măsurile sale de protecție cu ajutorul unor instrumente și tehnici utilizate în mod obișnuit de adversari.

Răspunsurile CERT-UE și ale ENISA

https://www.eca.europa.eu/ro/Pages/DocItem.aspx?did=60922

Note

1 Regulamentul (UE) 2019/881.

2 ISO/IEC 27000:2018.

3 Documentul de analiză nr. 02/2019 al Curții de Conturi Europene: „Provocări pentru o politică eficace a UE în domeniul securității cibernetice” (document de informare).

4 CERT-UE, Threat Landscape Report, iunie 2021.

5 Ibidem.

6 Ibidem.

7 Ibidem.

8 Cyberattack on EMA – update 6, 25.1.2021.

9 Raportul special nr. 22/2020 al Curții de Conturi Europene: „Viitorul agențiilor UE – Există potențial pentru o mai mare flexibilitate și cooperare”, punctul 01.

10 JO C 12, 13.1.2018, p. 1.

11 ENISA, Threat Landscape 2020, analiză sectorială/tematică a amenințărilor.

12 Directiva (UE) 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune.

13 Propunere de directivă privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune.

14 COM(2020) 605 final.

15 JOIN(2020) 18 final.

16 ISACA, Certified Information System Auditor review manual, 2019.

17 Comunicare către Comisie, intitulată European Commission digital Strategy: A digitally transformed, user-focused and data-driven Commission, C(2018) 7118 final, 21.11.2018.

18 Standardul ISO/IEC 27000:2018, capitolul 5.

19 COBIT 5 pentru securitatea informațiilor, secțiunea 4.2.

20 A se vedea, de exemplu, ISO/IEC 27000: 2018, secțiunea 4.5.

21 ENISA, Threat Landscape 2020, analiză sectorială/tematică a amenințărilor.

22 Set de controale derivate din controalele CIS 7.1, un cadru de bune practici gestionat de Centrul pentru securitatea internetului.

23 Grupul 1 (IG1) de punere în aplicare a controalelor CIS.

24 ISACA, Auditing Cyber Security: Evaluating Risk and Auditing Controls, 2017.

25 Decizia 46/2017 privind securitatea sistemelor informatice și de comunicații în cadrul Comisiei Europene.

26 Articolul 7 din Acordul interinstituțional semnat la 20.12.2017.

27 Comisia Europeană, The European Commission Cloud Strategy, 2019.

28 Sarcinile ENISA sunt enumerate în capitolul II (articolele 5-12) din Regulamentul (UE) 2019/881.

29 Regulamentul (UE) nr. 526/2013 al Parlamentului European și al Consiliului; sarcinile încredințate ENISA prin acest regulament sunt definite la articolul 3.

30 Articolul 6 din Regulamentul (UE) 2019/881.

31 Articolul 14 din Regulamentul UE privind securitatea cibernetică.

32 Articolul 18 din Regulamentul UE privind securitatea cibernetică.

33 Comunicat de presă al Comisiei Europene: „Securitatea informatică a instituțiilor UE a fost consolidată în urma unui proiect pilot de succes”.

34 Articolul 3 alineatul (3) din Acordul interinstituțional semnat la 20.12.2017.

35 Articolul 3 alineatul (2) din Acordul interinstituțional.

36 Considerentul 7 din Acordul interinstituțional.

37 Cele două comitete sunt numărate ca fiind o singură IOAUE.

Contact

CURTEA DE CONTURI EUROPEANĂ
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBURG

Tel. +352 4398-1
Întrebări: eca.europa.eu/ro/Pages/ContactForm.aspx
Website: eca.europa.eu
Twitter: @EUAuditors

Numeroase alte informații despre Uniunea Europeană sunt disponibile pe internet pe serverul Europa (https://europa.eu).

Luxemburg: Oficiul pentru Publicații al Uniunii Europene, 2022

PDF ISBN 978-92-847-7598-9 ISSN 1977-5806 doi:10.2865/70674 QJ-AB-22-003-RO-N
HTML ISBN 978-92-847-7609-2 ISSN 1977-5806 doi:10.2865/576369 QJ-AB-22-003-RO-Q

DREPTURI DE AUTOR

© Uniunea Europeană, 2022

Politica Curții de Conturi Europene referitoare la reutilizare este definită în Decizia nr. 6-2019 a Curții de Conturi Europene privind politica în materie de date deschise și reutilizarea documentelor.

Cu excepția cazului în care se precizează altceva (de exemplu, într-o mențiune separată indicând drepturile de autor), conținutul elaborat de Curtea de Conturi Europeană pentru care UE deține drepturile de autor face obiectul licenței Creative Commons Atribuire 4.0 Internațional (CC BY 4.0). Prin urmare, ca regulă generală, reutilizarea este autorizată cu condiția menționării adecvate a autorilor și a indicării eventualelor modificări. Reutilizatorul conținutului elaborat de Curtea de Conturi Europeană nu poate altera sensul sau mesajul inițial. Curtea de Conturi Europeană nu răspunde pentru eventualele consecințe ale reutilizării.

Este necesar să obțineți o permisiune suplimentară în cazul în care un anumit conținut prezintă persoane fizice ce pot fi identificate, de exemplu în cazul fotografiilor în care apar membri ai personalului Curții de Conturi Europene sau în cazul în care conținutul include lucrări ale unor terți.

Dacă se obține o astfel de permisiune, ea anulează și înlocuiește permisiunea de natură generală menționată mai sus și va indica în mod clar eventualele restricții de utilizare.

Pentru a utiliza sau a reproduce un conținut pentru care UE nu deține drepturile de autor, poate fi necesar să obțineți o permisiune în acest sens direct de la titularii drepturilor de autor.

Programele informatice sau documentele care fac obiectul unor drepturi de proprietate industrială, cum ar fi brevetele, mărcile, desenele și modelele înregistrate, logourile și denumirile, sunt excluse din politica Curții de Conturi Europene referitoare la reutilizare.

Familia site-urilor instituționale ale Uniunii Europene care sunt incluse în domeniul europa.eu oferă linkuri către site-uri terțe. Deoarece Curtea de Conturi Europeană nu are control asupra acestor site-uri, sunteți încurajați să verificați politica aplicată de ele în ceea ce privește respectarea vieții private și drepturile de autor.

Utilizarea logoului Curții de Conturi Europene

Logoul Curții de Conturi Europene nu poate fi utilizat fără acordul prealabil al Curții de Conturi Europene.

Contactați UE

În persoană
În întreaga Uniune Europeană există sute de centre de informare Europe Direct. Puteți găsi adresa centrului cel mai apropiat de dumneavoastră la: https://europa.eu/european-union/contact_ro

La telefon sau prin e-mail
Europe Direct este un serviciu care vă oferă răspunsuri la întrebările privind Uniunea Europeană. Puteți accesa acest serviciu:

Găsiți informații despre UE

Online
Informații despre Uniunea Europeană în toate limbile oficiale ale UE sunt disponibile pe site-ul Europa, la: https://europa.eu/european-union/index_ro

Publicații ale UE
Puteți descărca sau comanda publicații ale UE gratuite și contra cost la adresa: https://op.europa.eu/ro/publications. Mai multe exemplare ale publicațiilor gratuite pot fi obținute contactând Europe Direct sau centrul dumneavoastră local de informare (a se vedea https://europa.eu/european-union/contact_ro).

Dreptul UE și documente conexe
Pentru accesul la informații juridice din UE, inclusiv la ansamblul legislației UE începând din 1951 în toate versiunile lingvistice oficiale, accesați site-ul EUR-Lex, la: http://eur-lex.europa.eu

Datele deschise ale UE
Portalul de date deschise al UE (http://data.europa.eu/ro) oferă acces la seturi de date din UE. Datele pot fi descărcate și reutilizate gratuit, atât în scopuri comerciale, cât și necomerciale.