Kybernetická bezpečnosť inštitúcií, orgánov a agentúr EÚ: celková úroveň pripravenosti nezodpovedá hrozbám
O tejto správe:Počet kybernetických útokov na inštitúcie, orgány a agentúry EÚ prudko rastie. Keďže inštitúcie, orgány a agentúry EÚ sú úzko prepojené, slabé miesta v jednej z nich môžu vystaviť bezpečnostným hrozbám aj ostatné. Preskúmali sme, či majú primerané opatrenia na ochranu pred kybernetickými hrozbami. Zistili sme, že celkovo úroveň pripravenosti inštitúcií, orgánov a agentúr EÚ nezodpovedá hrozbám a že v oblasti kybernetickej bezpečnosti dosiahli veľmi rozdielne úrovne vyspelosti. Komisii odporúčame zlepšiť pripravenosť inštitúcií, orgánov a agentúr EÚ, a to tým, že navrhne zavedenie záväzných pravidiel kybernetickej bezpečnosti a zvýšenie zdrojov pre tím reakcie na núdzové počítačové situácie (CERT-EU). Komisia by mala tiež podporovať dosiahnutie väčšej synergie medzi inštitúciami, orgánmi a agentúrami EÚ, a tím CERT-EU a Agentúra Európskej únie pre kybernetickú bezpečnosť by mali svoju podporu zamerať na menej vyspelé inštitúcie, orgány a agentúry EÚ.
Osobitná správa EDA podľa článku 287 ods. 4 druhého pododseku ZFEÚ.
Zhrnutie
I V akte o kybernetickej bezpečnosti EÚ sa kybernetická bezpečnosť definuje ako „činnosti potrebné na ochranu sietí a informačných systémov, používateľov takýchto systémov a iných osôb dotknutých kybernetickými hrozbami“. Keďže inštitúcie, orgány a agentúry EÚ spracúvajú citlivé informácie, sú lákavým terčom pre potenciálnych útočníkov, najmä pre skupiny, ktoré sú schopné uskutočniť veľmi sofistikované utajené útoky s cieľom kybernetickej špionáže či na iné účely. Napriek svojej inštitucionálnej nezávislosti sú inštitúcie, orgány a agentúry EÚ navzájom úzko prepojené. Slabé miesta v jednotlivých inštitúciách, orgánoch a agentúrach EÚ by mohli vystaviť bezpečnostným rizikám aj ostatné.
II Vzhľadom na to, že počet kybernetických útokov na inštitúcie, orgány a agentúry EÚ sa prudko zvyšuje, cieľom auditu bolo zistiť, či inštitúcie, orgány a agentúry EÚ ako celok zaviedli primerané mechanizmy na svoju ochranu pred kybernetickými hrozbami. Dospeli sme k záveru, že komunita inštitúcií, orgánov a agentúr EÚ nedosiahla úroveň kybernetickej pripravenosti zodpovedajúcej hrozbám.
III Zistili sme, že kľúčové postupy v oblasti kybernetickej bezpečnosti, ktoré sa osvedčili, vrátane niektorých základných kontrol, neboli všade zavedené a že niekoľko inštitúcií, orgánov a agentúr EÚ jednoznačne nevynakladá na kybernetickú bezpečnosť dostatok prostriedkov. V niektorých inštitúciách, orgánoch a agentúrach EÚ ešte stále nie je zavedené ani správne riadenie kybernetickej bezpečnosti: stratégie v oblasti bezpečnosti informačných technológií v mnohých prípadoch chýbajú alebo ich nepodporuje vrcholový manažment, politiky v oblasti bezpečnosti nemajú vždy formálnu podobu a hodnotenia rizík sa nevzťahujú na celé IT prostredie. Nie všetky inštitúcie, orgány a agentúry EÚ pravidelne podrobujú svoju kybernetickú bezpečnosť nezávislému overeniu.
IV Odborná príprava v oblasti kybernetickej bezpečnosti nie je vždy systematická. Len o niečo viac ako polovica inštitúcií, orgánov a agentúr EÚ ponúka priebežnú odbornú prípravu pre zamestnancov v oblasti IT a špecialistov na bezpečnosť IT. A len malý počet inštitúcií, orgánov a agentúr EÚ organizuje povinné školenia o kybernetickej bezpečnosti pre manažérov zodpovedných za IT systémy obsahujúce citlivé informácie. Kampane simulovaného phishingu sú dôležitým nástrojom na vyškolenie zamestnancov a zvyšovanie informovanosti, no nie všetky inštitúcie, orgány a agentúry EÚ ich používajú systematicky.
V Hoci inštitúcie, orgány a agentúry EÚ vytvorili štruktúry zamerané na spoluprácu a výmenu informácií o kybernetickej bezpečnosti, skonštatovali sme, že potenciálne synergie nie sú využité v plnej miere. O projektoch súvisiacich s kybernetickou bezpečnosťou, posúdeniach bezpečnosti a zákazkách na poskytnutie služieb sa navzájom systematicky neinformujú. Navyše základné komunikačné nástroje, ako sú riešenia pre šifrované e-maily či videokonferencie, nie sú plne interoperabilné. To môže viesť k nižšej bezpečnosti pri výmene informácií, duplikácii úsilia a vyšším nákladom.
VI Dvomi hlavnými subjektmi poverenými poskytovaním podpory inštitúciám, orgánom a agentúram EÚ sú tím reakcie na núdzové počítačové situácie v inštitúciách, orgánoch a agentúrach EÚ (CERT-EU) a Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA). Avšak pre obmedzené zdroje alebo skutočnosť, že sa prioritne riešia iné oblasti, nedokážu inštitúciám, orgánom a agentúram EÚ poskytnúť všetku potrebnú podporu, najmä v oblasti budovania kapacít v menej vyspelých inštitúciách, orgánoch a agentúrach EÚ. Hoci inštitúcie, orgány a agentúry EÚ si tím CERT-EU veľmi cenia, jeho účinnosť ohrozuje zvyšujúca sa pracovná záťaž, nestabilné financovanie a personálne obsadenie, a nedostatočná spolupráca niektorých inštitúcií, orgánov a agentúr EÚ, ktoré nie vždy včas informujú o zraniteľných miestach a o závažných incidentoch v oblasti kybernetickej bezpečnosti, ktoré ich zasiahli alebo ktoré môžu zasiahnuť iné subjekty.
VII Na základe týchto záverov odporúčame, aby:
- Komisia zlepšila pripravenosť inštitúcií, orgánov a agentúr EÚ v oblasti kybernetickej bezpečnosti na základe legislatívneho návrhu, ktorým sa zavedú spoločné záväzné pravidlá týkajúce sa kybernetickej bezpečnosti pre všetky inštitúcie, orgány a agentúry EÚ, ako aj navýšenie zdrojov pre tím CERT-EU,
- Komisia v rámci medziinštitucionálneho výboru pre digitálnu transformáciu presadzovala vo vybraných oblastiach ďalšie synergie medzi inštitúciami, orgánmi a agentúrami EÚ,
- sa tím CERT-EU a agentúra ENISA viac zamerali na inštitúcie, orgány a agentúry EÚ, ktoré sú v oblasti kybernetickej bezpečnosti menej vyspelé.
Úvod
Čo je kybernetická bezpečnosť?
01 V akte o kybernetickej bezpečnosti EÚ[1] sa kybernetická bezpečnosť definuje ako „činnosti potrebné na ochranu sietí a informačných systémov, používateľov takýchto systémov a iných osôb dotknutých kybernetickými hrozbami“. Kybernetická bezpečnosť je založená na informačnej bezpečnosti, teda zachovávaní dôvernosti, integrity a dostupnosti informácií[2] vo fyzickej i v elektronickej podobe. Ďalej ochrana sietí a informačných systémov, v ktorých sú tieto informácie uložené, sa označuje ako bezpečnosť informačných technológií (IT) (pozri ilustráciu 1).
02 Kybernetická bezpečnosť ako odbor zahŕňa predchádzanie kybernetickým útokom, ich odhaľovanie, reakciu na ne a obnovu po nich. Rozsah incidentov je rôzny, od neúmyselného sprístupnenia informácií až po útoky, ktorých cieľom je ohroziť kritickú infraštruktúru, či krádež totožnosti a osobných údajov[3].
03 Rámec pre kybernetickú bezpečnosť zahŕňa množstvo prvkov vrátane požiadaviek a technických kontrol na zabezpečenie sietí a informačných systémov, ako aj vhodné mechanizmy správy a programy na zvýšenie informovanosti zamestnancov o kybernetickej bezpečnosti.
Kybernetická bezpečnosť v inštitúciách, orgánoch a agentúrach EÚ
04 Keďže inštitúcie, orgány a agentúry EÚ spracúvajú citlivé informácie, sú lákavým terčom pre potenciálnych útočníkov, najmä pre skupiny, ktoré sú schopné uskutočniť veľmi sofistikované utajené útoky (tzv. pokročilé pretrvávajúce hrozby) s cieľom kybernetickej špionáže či s iným cieľom[4]. Úspešné kybernetické útoky voči inštitúciám, orgánom a agentúram EÚ môžu mať vážne politické dôsledky, poškodiť celkovú povesť EÚ a oslabiť dôveru v jej inštitúcie.
05 Pandémia COVID-19 prinútila inštitúcie, orgány a agentúry EÚ, podobne ako mnohé iné organizácie na svete, prudko urýchliť digitálnu transformáciu a zaviesť prácu na diaľku. Pre útočníkov sa tak výrazne zvýšil počet potenciálnych prístupových miest (tzv. plocha útoku) a rozsah každej organizácie sa rozšíril na domácnosti a mobilné zariadenia pripojené k internetu, v ktorých možno zneužiť nové zraniteľné miesta. Jednou z najčastejších ciest, ktorými skupiny útočiace na inštitúcie, orgány a agentúry EÚ s použitím pokročilých pretrvávajúcich hrozieb, získavajú prvotný prístup k ich sieťam, sú služby diaľkového prístupu[5].
06 Počet kybernetických incidentov stúpa a mimoriadne znepokojivým trendom je dramatický nárast závažných incidentov zameraných na inštitúcie, orgány a agentúry EÚ[6]. Rok 2021 bol v tejto súvislosti rekordný. Významné incidenty sú tie, ktoré sa neopakujú a nemajú charakteristiky základného incidentu. Zvyčajne zahŕňajú použitie nových metód a technológií a ich vyšetrenie a odstránenie ich dôsledkov môže trvať týždne alebo až mesiace. Od roku 2018 do roku 2021 sa počet závažných incidentov viac ako zdesaťnásobil[7]. Len v uplynulých dvoch rokoch bolo závažnými incidentmi zasiahnutých minimálne 22 inštitúcií, orgánov a agentúr EÚ. Jedným z nedávnych príkladov je kybernetický útok na Európsku agentúru pre lieky, pri ktorom unikli citlivé údaje, ktoré boli zmanipulované takým spôsobom, aby narušili dôveru vo vakcíny[8].
07 Inštitúcie, orgány a agentúry EÚ sú veľmi rôznorodou skupinou, ktorá zahŕňa inštitúcie, agentúry a množstvo rôznych orgánov. Sedem inštitúcií EÚ bolo zriadených zmluvami. Na druhej strane decentralizované agentúry a ostatné orgány EÚ sú zriadené aktmi sekundárneho práva a pôsobia ako samostatné právne subjekty. Existujú rôzne právne typy agentúr: šesť výkonných agentúr Komisie a 37 decentralizovaných agentúr EÚ[9]. Inštitúcie, orgány a agentúry EÚ zahŕňajú aj úrady EÚ, diplomatické zbory (Európsku službu pre vonkajšiu činnosť), spoločné podniky a iné orgány. Každá z inštitúcií, orgánov a agentúr EÚ zodpovedá za vymedzenie svojich vlastných požiadaviek v oblasti kybernetickej bezpečnosti a za uplatňovanie vlastných bezpečnostných opatrení.
08 Na posilnenie kybernetickej bezpečnosti inštitúcií, orgánov a agentúr EÚ zriadila Komisia v roku 2012 tím reakcie na núdzové počítačové situácie v európskych inštitúciách, orgánoch a agentúrach (CERT-EU) ako stálu pracovnú skupinu. Tím CERT‑EU je pre inštitúcie, orgány a agentúry EÚ centrom výmeny informácií o kybernetickej bezpečnosti a koordinácie reakcií na incidenty a spolupracuje s ostatnými jednotkami pre riešenie počítačových bezpečnostných incidentov (CSIRT) v členských štátoch a so spoločnosťami špecializujúcimi sa na bezpečnosť IT. Organizácia a činnosť tímu CERT‑EU sa v súčasnosti riadi medziinštitucionálnou dohodou z roku 2018[10] (IIA) (ďalej len „medziinštitucionálna dohoda“) podpísanou inštitúciami, orgánmi a agentúrami EÚ, ktorým tím CERT‑EU poskytuje služby a ktoré sa nazývajú aj „zúčastnené strany“. V súčasnosti existuje 87 zúčastnených strán.
09 Ďalším kľúčovým aktérom, ktorý poskytuje podporu inštitúciám, orgánom a agentúram EÚ, je Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA), ktorej cieľom je dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti v EÚ. Úlohou agentúry ENISA, ktorá bola zriadená v roku 2004, je zvýšiť dôveryhodnosť produktov, procesov a služieb informačných a komunikačných technológií (IKT) prostredníctvom systémov certifikácie kybernetickej bezpečnosti, spolupracovať s inštitúciami, orgánmi a agentúrami EÚ a členskými štátmi a pomáhať im pri príprave na kybernetické hrozby. ENISA pomáha inštitúciám, orgánom a agentúram EÚ pri budovaní kapacít i operačnej spolupráci.
10 Napriek inštitucionálnej nezávislosti sú inštitúcie, orgány a agentúry EÚ navzájom úzko prepojené. Informácie si vymieňajú na dennej báze a spoločne využívajú množstvo systémov a sietí. Slabé miesta v jednotlivých inštitúciách, orgánoch a agentúrach EÚ by mohli vystaviť bezpečnostným hrozbám aj ostatné zúčastnené strany, keďže mnohé kybernetické útoky prebiehajú vo viacerých krokoch, kým dosiahnu svoj zámer alebo konečný cieľ[11]. Úspešný útok na jednu slabšiu inštitúciu, orgán alebo agentúru EÚ môže slúžiť ako odrazový mostík pre útok na ďalšie subjekty. Inštitúcie, orgány a agentúry EÚ sú prepojené aj s verejnými a súkromnými organizáciami v členských štátoch a ich nedostatočná pripravenosť môže aj ich kybernetickým hrozbám vystaviť.
11 V súčasnosti neexistuje právny rámec pre informačnú a kybernetickú bezpečnosť v inštitúciách, orgánoch a agentúrach EÚ. Nevzťahuje sa na ne najvšeobecnejšia právna úprava EÚ o kybernetickej bezpečnosti, smernica o sieťovej a informačnej bezpečnosti (NIS) z roku 2016[12], ani jej navrhovaná revízia – smernica NIS2[13]. K dispozícii nie sú ani ucelené informácie o finančných prostriedkoch, ktoré inštitúcie, orgány a agentúry EÚ vynaložili na kybernetickú bezpečnosť.
12 V júli 2020 Komisia zverejnila oznámenie o stratégii EÚ pre bezpečnostnú úniu[14] na obdobie 2020 – 2025. Hlavné opatrenia vymedzené v nej zahŕňajú „spoločné pravidlá v oblasti informačnej bezpečnosti a kybernetickej bezpečnosti pre všetky inštitúcie, orgány a agentúry EÚ“. Tento nový rámec má podnietiť intenzívnu a efektívnu spoluprácu, v ktorej by ústrednú úlohu zohrával tím CERT‑EU. V Stratégii kybernetickej bezpečnosti EÚ v digitálnej dekáde[15], zverejnenej v decembri 2020, sa Komisia zaviazala predložiť návrh nariadenia o spoločných pravidlách kybernetickej bezpečnosti pre všetky inštitúcie, orgány a agentúry EÚ. Takisto navrhla vytvorenie nového právneho základu pre tím CERT‑EU s cieľom posilniť jeho mandát a financovanie.
Rozsah auditu a audítorský prístup
13 Vzhľadom na to, že počet kybernetických útokov sa prudko zvyšuje a že slabé miesta v jednej z inštitúcií, orgánov alebo agentúr môžu vystaviť bezpečnostným hrozbám aj ostatné, bolo cieľom tohto auditu zistiť, či inštitúcie, orgány a agentúry EÚ ako celok zaviedli primerané mechanizmy na svoju ochranu pred kybernetickými hrozbami. Na zodpovedanie tejto hlavnej audítorskej otázky sme riešili tri podotázky:
- Sú v inštitúciách, orgánoch a agentúrach EÚ zavedené kľúčové postupy v oblasti kybernetickej bezpečnosti?
- Existuje medzi inštitúciami, orgánmi a agentúrami EÚ účinná spolupráca v oblasti kybernetickej bezpečnosti?
- Poskytuje agentúra ENISA a tím CERT‑EU primeranú podporu inštitúciám, orgánom a agentúram EÚ v oblasti kybernetickej bezpečnosti?
14 Harmonogram auditu je zosúladený so stratégiou EÚ pre bezpečnostnú úniu. Posúdením súčasných mechanizmov inštitúcií, orgánov a agentúr EÚ v oblasti kybernetickej bezpečnosti sa snažíme identifikovať oblasti, v ktorých je priestor na zlepšenie a ktoré môže Komisia vziať do úvahy pri príprave svojho legislatívneho návrhu spoločných záväzných pravidiel v oblasti kybernetickej bezpečnosti pre všetky inštitúcie, orgány a agentúry EÚ.
15 Audit zahŕňal vývoj a iniciatívy v oblasti kybernetickej bezpečnosti od januára 2018 (keď bola uzatvorená medziinštitucionálna dohoda o tíme CERT‑EU) do októbra 2021.
16 Rozsah auditu sme obmedzili na kybernetickú odolnosť a neutajované systémy. Zamerali sme sa na aspekty pripravenosti (činnosti zodpovedajúce „identifikácii, ochrane, odhaľovaniu“). Rozsah auditu nezahŕňal aspekty „reakcie“ a „obnovy“. Preskúmali sme však určité organizačné prvky reakcie na incidenty. Mimo rámec auditu boli aj aspekty ochrany údajov, presadzovania práva, kybernetickej obrany a kybernetickej diplomacie (pozri ilustráciu 2).
17 Naše zistenia sú založené na rozsiahlej analýze dostupnej dokumentácie doplnenej rozhovormi. V rámci prieskumu 65 inštitúcií, orgánov a agentúr EÚ, ktorého súčasťou bolo aj ich sebahodnotenie, sme zozbierali informácie o ich opatreniach v oblasti kybernetickej bezpečnosti a názory na medziinštitucionálnu spoluprácu. Prieskum sme uskutočnili vo všetkých inštitúciách, orgánoch a agentúrach EÚ, na ktoré sa vzťahujú práva EDA na vykonanie auditu a ktoré riadia svoju vlastnú IT infraštruktúru, ako aj v našej vlastnej inštitúcii. Išlo o inštitúcie, decentralizované agentúry, spoločné podniky a orgány. Prieskum sa vykonával aj v civilných misiách, ktoré sú dočasnými samostatnými subjektmi financovanými z rozpočtu EÚ a z pohľadu IT sú nezávislé. V prílohe I sa uvádza úplný zoznam inštitúcií, orgánov a agentúr EÚ zaradených do prieskumu. Súčasťou auditu nebol európsky ombudsman ani európsky dozorný úradník pre ochranu údajov.
18 Na prieskum odpovedalo 100 % oslovených subjektov a bol východiskovým bodom pre ďalšiu analýzu. Okrem toho sme vybrali vzorku siedmich inštitúcií, orgánov a agentúr EÚ, ktorá reprezentuje ich rôznorodosť, a v nadväznosti na ich odpovede v prieskume sme s nimi uskutočnili rozhovory a požiadali o dokumentáciu. Kritériá, ktoré sme pri výbere zohľadnili, zahŕňali právny základ, veľkosť (počet zamestnancov a rozpočet) a sektor. Vzorka inštitúcií, orgánov a agentúr EÚ pozostávala z Európskej komisie, Európskeho parlamentu, Agentúry Európskej únie pre kybernetickú bezpečnosť (ENISA), Európskeho orgánu pre bankovníctvo (EBA), Európskej námornej bezpečnostnej agentúry (EMSA), poradnej misie EÚ na Ukrajine (EUAM Ukraine) a spoločného podniku pre iniciatívu pre inovačné lieky (IIL).
19 Uskutočnili sa aj videozasadnutia s tímom CERT‑EU, poradným výborom siete agentúr pre informačné a komunikačné technológie (ICTAC), medziinštitucionálnym výborom pre digitálnu transformáciu (ICDT) a ďalšími relevantnými zainteresovanými stranami.
Pripomienky
Inštitúcie, orgány a agentúry EÚ majú veľmi odlišné úrovne vyspelosti kybernetickej bezpečnosti a nie vždy dodržiavajú osvedčené postupy
20 V tejto časti analyzujeme jednotlivé mechanizmy a rámce pre kybernetickú bezpečnosť v inštitúciách, orgánoch a agentúrach EÚ. Posudzovali sme, či je ich prístup ku kybernetickej bezpečnosti jednotný a primeraný z hľadiska správy bezpečnosti IT, riadenia rizík, prideľovania zdrojov, odbornej prípravy zameranej na zvyšovanie informovanosti, kontrol a nezávislého overenia.
Správa bezpečnosti IT v inštitúciách, orgánoch a agentúrach EÚ často nie je dobre rozvinutá a hodnotenia rizík nie sú komplexné
V mnohých inštitúciách, orgánoch a agentúrach EÚ sú nedostatky v správe bezpečnosti IT
21 Dobrá správa je pre účinný rámec bezpečnosti informačných systémov a systémov IT kľúčová, pretože vymedzuje ciele organizácie a prostredníctvom stanovenia priorít a rozhodovania udáva smer. Podľa Asociácie auditu a kontroly informačných systémov (ISACA)[16] by mal rámec pre správu bezpečnosti IT v zásade zahŕňať tieto prvky:
- komplexnú stratégiu bezpečnosti vzájomne prepojenú s cieľmi organizácie,
- riadiace bezpečnostné politiky upravujúce každý aspekt stratégie, kontrol a regulácie,
- kompletný súbor noriem pre každú politiku opisujúci operačné opatrenia nevyhnutné na dosiahnutie súladu s politikou,
- inštitucionalizované monitorovacie procesy na zaistenie súladu a poskytnutie spätnej väzby o účinnosti,
- účinnú organizačnú štruktúru bez konfliktu záujmov.
22 V mnohých inštitúciách, orgánoch a agentúrach EÚ sme zistili nedostatky v riadení bezpečnosti IT. Len 58 % inštitúcií, orgánov a agentúr EÚ (38 zo 65) má stratégiu bezpečnosti IT alebo aspoň plán bezpečnosti IT schválený na úrovni správnej rady alebo vyššieho manažmentu. Z rozdelenia podľa typu inštitúcie, orgánu a agentúry EÚ vyplýva, že najnižší percentuálny podiel majú civilné misie a decentralizované agentúry (ktoré spolu tvoria 71 % inštitúcií, orgánov a agentúr EÚ zaradených do prieskumu) (pozri tabuľku 1). Ak neexistuje stratégia bezpečnosti IT alebo plán bezpečnosti IT schválené na úrovni vyššieho manažmentu, hrozí, že vrcholový manažment si nebude vedomý problémov s bezpečnosťou IT alebo ich nebude považovať za dostatočnú prioritu.
Tabuľka 1 – Percentuálny podiel inštitúcií, orgánov a agentúr EÚ so stratégiou alebo s plánom bezpečnosti IT schválenými vyšším vedením
Rozdelenie podľa počtu zamestnancov
< 100 zamestnancov
(22 subjektov EÚ) |
100 až 249 zamestnancov
(17 subjektov EÚ) |
250 až 1 000 zamestnancov
(16 subjektov EÚ) |
> 1 000 zamestnancov
(10 subjektov EÚ) |
---|---|---|---|
45 % | 53 % | 69 % | 80 % |
Rozdelenie podľa typu inštitúcie, orgánu a agentúry EÚ
Decentralizované agentúry
(35 subjektov EÚ) |
Civilné misie
(11 subjektov EÚ) |
Orgány
(4 subjekty EÚ) |
Inštitúcie
(6 subjektov EÚ) |
Spoločné podniky
(9 subjektov EÚ) |
---|---|---|---|---|
45 % | 56 % | 75 % | 83 % | 89 % |
Zdroj: Prieskum EDA.
23 Preskúmali sme stratégie/plány bezpečnosti IT, ktoré nám poskytlo sedem inštitúcií, orgánov a agentúr EÚ zaradených do vzorky (pozri bod 18). Zistili sme, že stratégie inštitúcií, orgánov a agentúr EÚ sú pomerne dobre prepojené s ich operačnými cieľmi. Napríklad stratégia Komisie v oblasti bezpečnosti IT pokrýva rozmer bezpečnosti IT z digitálnej stratégie Európskej komisie[17] a je navrhnutá na podporu jej plánu a cieľov. Avšak len tri subjekty EÚ v našej vzorke vymedzili v stratégiách/plánoch bezpečnosti IT konkrétne ciele a časový rámec na ich dosiahnutie.
24 Bezpečnostné politiky vymedzujú pravidlá a postupy, ktoré musia dodržiavať jednotlivci, ktorí používajú alebo spravujú informácie a IT zdroje. Pomáhajú zmierňovať riziká pre kybernetickú bezpečnosť a poskytujú informácie o tom, ako postupovať v prípade incidentov. Zistili sme, že 78 % inštitúcií, orgánov a agentúr EÚ má formálnu politiku informačnej bezpečnosti, zatiaľ čo len 60 % má formálne politiky v oblasti bezpečnosti IT (pozri vymedzenie informačnej bezpečnosti a bezpečnosti IT na ilustrácii 1). Takisto sme zistili, že štyri zo siedmich inštitúcií, orgánov a agentúr EÚ z našej vzorky majú bezpečnostné politiky, ktoré sú v súlade s ich stratégiami v oblasti bezpečnosti IT. Avšak v troch zo štyroch týchto subjektov sú politiky bezpečnosti IT len čiastočne doplnené aktuálnymi podrobnými normami bezpečnosti, v ktorých sú opísané operačné kroky potrebné na vykonanie uvedených politík. Chýbajúce formálne bezpečnostné normy zvyšujú riziko, že problémy s bezpečnosťou IT sa nebudú v danej inštitúcii, orgáne alebo agentúre EÚ riešiť primerane a konzistentne. Navyše je potom ťažšie vyhodnotiť, do akej miery organizácia plní svoju politiku v oblasti bezpečnosti IT. Zo siedmich inštitúcií, orgánov a agentúr EÚ zaradených do vzorky má štruktúrované postupy na monitorovanie súladu s politikou a normami bezpečnosti IT len Komisia, a aj tie používa len obmedzený počet generálnych riaditeľstiev (GR) (pozri rámček 1).
Zaisťovanie bezpečnosti IT v Komisii
V súlade s decentralizovaným riadením informačných technológií v Komisii sú vlastníkom služieb zodpovedným za to, aby systémy spĺňali normy bezpečnosti IT, vedúci jednotlivých generálnych riaditeľstiev. Generálne riaditeľstvo pre informatiku (GR DIGIT) a Generálne riaditeľstvo pre ľudské zdroje a bezpečnosť (GR HR) monitorujú a uľahčujú vykonávanie postupov riadenia súladu. GR DIGIT vytvorilo nástroj (označovaný ako „GRC“), ktorý generálnym riaditeľstvám umožňuje merať a vykazovať dodržiavanie kontrolných mechanizmov stanovených v politike bezpečnosti IT.
580 kontrolných mechanizmov je rozdelených do troch skupín: všeobecné kontroly (týkajúce sa zväčša správy), kontroly špecifické pre konkrétne generálne riaditeľstvá a kontroly špecifické pre jednotlivé systémy. Nástroj je funkčný, no zatiaľ ho používa len päť generálnych riaditeľstiev. GR DIGIT preto nemá prehľad o dodržiavaní súladu v Komisii ako celku. Rada Komisie pre informačné technológie a kybernetickú bezpečnosť (ITCB) však môže GR DIGIT požiadať, aby preskúmalo súlad s konkrétnu normou (napr. viacfaktorové overenie v roku 2021), a môže vydávať nezáväzné stanoviská a odporúčania, alebo v prípade kritických rizík aj formálne požiadavky.
25 Ďalším dôležitým prvkom dobrej správy kybernetickej bezpečnosti je vymenovanie hlavného úradníka pre informačnú bezpečnosť. Hoci sa to v súbore noriem ISO 27000 výslovne nevyžaduje[18], vymenovanie hlavného úradníka pre informačnú bezpečnosť alebo zriadenie rovnocennej funkcie sa v organizáciách stalo rozšírenou praxou a odporúčajú ju aj usmernenia asociácie ISACA. Hlavný úradník pre informačnú bezpečnosť obvykle nesie celkovú zodpovednosť za programy informačnej bezpečnosti a bezpečnosti IT v danej organizácii. Aby sa predišlo konfliktu záujmov, hlavný úradník by mal byť do určitej miery nezávislý od funkcie/útvaru IT[19].
26 Podľa nášho prieskumu 60 % inštitúcií, orgánov a agentúr EÚ nevymenovalo nezávislého hlavného úradníka pre informačnú bezpečnosť, a ani nevytvorilo rovnocennú funkciu. Aj v inštitúciách, orgánoch a agentúrach EÚ, kde hlavní úradníci boli vymenovaní (alebo boli vytvorené rovnocenné funkcie), sa ich úlohy značne líšia a tieto subjekty ich funkciu chápu rozdielne. Najmä v malých a stredných inštitúciách, orgánoch a agentúrach EÚ sú hlavní úradníci pre informačnú bezpečnosť spájaní skôr s operačnými úlohami a nie sú funkčne nezávislí od útvaru IT. V dôsledku toho môže byť nezávislosť hlavných úradníkov pri realizácii bezpečnostných priorít obmedzená. Agentúra ENISA v súčasnosti pripravuje rámec EÚ pre zručnosti v oblasti kybernetickej bezpečnosti, ktorý má okrem iného zaručiť jednotný výklad úloh, kompetencií a zručností.
Hodnotenia rizík z hľadiska bezpečnosti IT v inštitúciách, orgánoch a agentúrach EÚ sa väčšinou nevzťahujú na celé IT prostredie
27 Všetky medzinárodné normy bezpečnosti IT zdôrazňujú význam zavedenia vhodnej metódy hodnotenia a riešenia bezpečnostných rizík postihujúcich systémy IT a údaje, ktoré obsahujú. Hodnotenia rizík sa majú vykonávať pravidelne s cieľom reagovať na zmeny požiadaviek organizácie v oblasti informačnej bezpečnosti a zmeny rizík, ktorým čelí[20]. Po hodnoteniach by malo nasledovať vypracovanie plánu na zmiernenie rizík (alebo plánu bezpečnosti IT).
28 Väčšina inštitúcií, orgánov a agentúr EÚ zaradených do prieskumu (58 zo 65) uviedla, že pri vykonávaní hodnotení rizík spojených s ich IT systémami postupujú podľa určitého rámca alebo metodiky. Inštitúcie, orgány a agentúry EÚ však nemajú spoločnú metodiku. Minimálne 26 inštitúcií, orgánov a agentúr EÚ čiastočne alebo v plnej miere využíva metodiku, ktorú vypracovala Komisia, a konkrétne 31 % inštitúcií, orgánov a agentúr EÚ používalo v roku 2018 metodiku riadenia bezpečnostných rizík v oblasti informačných technológií (ITSRM2). Ďalšie uplatňovali metodiku založenú na známych odvetvových normách (ako ISO 27001, ISO 27005, rámec pre kybernetickú bezpečnosť Národného inštitútu pre normy a technológie (NIST-CSF) alebo kontroly Centra pre bezpečnosť internetu (CIS)) alebo používajú iné interné metodiky.
29 Zo siedmich inštitúcií, orgánov a agentúr EÚ zaradených do vzorky len dve vykonávajú komplexné hodnotenia rizík, ktoré zahŕňajú ich celé IT prostredie (t. j. všetky IT systémy). Väčšina vykonáva individuálne hodnotenia rizík zamerané len na ich najdôležitejšie IT systémy. Našli sme niekoľko príkladov hodnotení rizík, ktoré sa realizovali pred zavedením nových systémov. Nič však nenasvedčuje tomu, že by sa vykonali nadväzné hodnotenia rizík, ktoré by sa týkali napríklad zmien v systémoch/infraštruktúre týchto subjektov.
Inštitúcie, orgány a agentúry EÚ nepristupujú ku kybernetickej bezpečnosti dôsledne a nemajú vždy zavedené základné kontroly
Pridelenie zdrojov na kybernetickú bezpečnosť sa v jednotlivých inštitúciách, orgánoch a agentúrach EÚ výrazne líši
30 V prieskume sme inštitúcie, orgány a agentúry EÚ požiadali, aby uviedli svoje celkové výdavky na IT za rok 2020 a odhad sumy vynaloženej na kybernetickú bezpečnosť. Z našich údajov vyplýva, že sú výrazné rozdiely v tom, aký podiel z výdavkov v oblasti IT vyčleňujú jednotlivé inštitúcie, orgány a agentúry EÚ na kybernetickú bezpečnosť. Platí to dokonca aj v inštitúciách, orgánoch a agentúrach EÚ, ktoré sú z hľadiska počtu zamestnancov podobnej veľkosti. Ako vyplýva z ilustrácie 3, rozdiely sú obzvlášť veľké v inštitúciách, orgánoch a agentúrach EÚ s menším počtom zamestnancov.
31 Je ťažké stanoviť optimálnu úroveň výdavkov na kybernetickú bezpečnosť v absolútnom vyjadrení. Závisí od mnohých faktorov, ako je plocha útoku v danej organizácii, citlivosť údajov, ktoré spracúva, jej rizikový profil a ochota podstupovať riziká, a odvetvové právne/regulačné požiadavky. Naše údaje však poukazujú na to, že rozdiely sú významné a ich dôvody nie sú vždy zrejmé Niektoré inštitúcie, orgány a agentúry EÚ vynakladajú na kybernetickú bezpečnosť výrazne menej prostriedkov ako ich partneri podobnej veľkosti, čo môže znamenať, že ak sú vystavené podobným hrozbám a rizikám, tieto výdavky sú nedostatočné.
32 Väčšina inštitúcií, orgánov a agentúr EÚ je z hľadiska počtu zamestnancov a výdavkov na IT malá až stredná, pričom dve tretiny majú menej než 350 zamestnancov. Najmenší z týchto subjektov má len 15 zamestnancov. Riadenie kybernetickej bezpečnosti je náročnejšie a vyžaduje si viac zdrojov v menších inštitúciách, orgánoch a agentúrach EÚ. Vo väčšine prípadov nemôžu využívať úspory z rozsahu a nemajú dostatok interných odborníkov. Z nášho prieskumu i z rozhovorov vyplýva, že najväčšie inštitúcie, ako je Komisia a Európsky parlament, majú tímy odborníkov, ktorí sa kybernetickej bezpečnosti venujú na plný úväzok. V najmenších inštitúciách, orgánoch a agentúrach EÚ, v ktorých je počet zamestnancov a množstvo zdrojov obzvlášť obmedzené, však žiadni odborníci nie sú a kybernetickej bezpečnosti sa na čiastočný úväzok venujú zamestnanci so skúsenosťami v oblasti IT. Keďže inštitúcie, orgány a agentúry EÚ sú úzko prepojené, predstavuje to zvýšené riziko (pozri aj bod 10).
33 V prieskume sme sa inštitúcií, orgánov a agentúr EÚ opýtali, ktorým hlavným problémom vo svojich organizáciách čelili pri vykonávaní účinných politík v oblasti kybernetickej bezpečnosti (pozri ilustráciu 4). Najväčšou výzvou je, že odborníkov na kybernetickú bezpečnosť je nedostatok a mnohé inštitúcie, orgány a agentúry EÚ majú z dôvodu konkurencie zo strany súkromného sektora i iných subjektov EÚ problém ich prilákať. Opakujúcim sa problémom sú zdĺhavé postupy prijímania zamestnancov, neatraktívne zmluvné podmienky a nedostatočná kariérna perspektíva. Nedostatok špecialistov predstavuje významné riziko ohrozujúce účinné manažovanie kybernetickej bezpečnosti.
Väčšina inštitúcií, orgánov a agentúr EÚ ponúka nejakú formu školení na zvýšenie informovanosti o kybernetickej bezpečnosti, nie sú však systematické ani vhodne zamerané
34 Využívanie zraniteľných miest v systémoch a zariadeniach nie je jediný spôsob, ako môžu potenciálni útočníci spôsobiť škody. Môžu tiež presvedčiť používateľov, aby odhalili citlivé informácie alebo si stiahli škodlivý softvér, napríklad prostredníctvom phishingu alebo sociálneho inžinierstva. Zamestnanci sú súčasťou prvej obrannej línie každej organizácie. Programy zamerané na zvyšovanie povedomia a vzdelávanie o kybernetickej bezpečnosti sú preto kľúčovým prvkom účinného rámca kybernetickej bezpečnosti.
35 Prevažná väčšina inštitúcií, orgánov a agentúr EÚ zaradených do prieskumu (95 %), s výnimkou troch, poskytuje všetkým zamestnancom určitú formu všeobecnej odbornej prípravy na zvýšenie povedomia o kybernetickej bezpečnosti. Avšak len 41 % inštitúcií, orgánov a agentúr EÚ organizuje školenia a kurzy na zvýšenie informovanosti zamerané osobitne na manažérov a len 29 % poskytuje povinnú odbornú prípravu v oblasti kybernetickej bezpečnosti pre manažérov zodpovedných za IT systémy obsahujúce citlivé informácie. Informovanosť a angažovanosť vedúcich pracovníkov sú pre účinnú správu kybernetickej bezpečnosti zásadné. Z jedenástich inštitúcií, orgánov a agentúr EÚ, ktoré spomenuli chýbajúcu podporu zo strany vedenia ako problém pre zaistenie účinnej kybernetickej bezpečnosti, len tri ponúkali svojim manažérom školenia zamerané na zvýšenie informovanosti. Priebežnú odbornú prípravu o kybernetickej bezpečnosti ponúka zamestnancom v oblasti IT 58 % inštitúcií, orgánov a agentúr EÚ a špecialistom na bezpečnosť IT 51 %.
36 Nie všetky inštitúcie, orgány a agentúry EÚ majú mechanizmy na sledovanie účasti zamestnancov na školeniach o kybernetickej bezpečnosti a o tom, ako sa následne zmenila ich informovanosť a správanie. Najmä v menších organizáciách sa informácie o kybernetickej bezpečnosti môžu poskytovať v rámci neformálnych pracovných porád. Hlavný spôsob, akým organizácie merajú informovanosť zamestnancov, je pravidelné testovanie ich správania vrátane prieskumov počítačovej gramotnosti alebo testov simulovaného phishingu. Za posledných päť rokov zorganizovalo jednu alebo viac kampaní simulovaného phishingu (alebo podobných testov) 55 % inštitúcií, orgánov a agentúr EÚ. Keďže phishing je jednou z hlavných hrozieb, ktorým čelia zamestnanci vo verejnej správe[21], tieto testy sú dôležitým nástrojom na odbornú prípravu zamestnancov a zvyšovanie ich informovanosti. Opatrenia Komisie na zvyšovanie povedomia o kybernetickej bezpečnosti považujeme za osvedčený postup, ktorý je prístupný aj ostatným inštitúciám, orgánom a agentúram EÚ, ktoré oň prejavia záujem (pozri rámček 2).
Školenia na zvýšenie informovanosti o kybernetickej bezpečnosti v Komisii
Komisia má v rámci GR DIGIT špecializovaný tím „Cyber Aware“, ktorý vedie interný program na zvyšovanie informovanosti o kybernetickej bezpečnosti. Program je riadený a realizovaný spoločne s GR HR, generálnym sekretariátom, Generálnym riaditeľstvom pre komunikačné siete, obsah a technológie (GR CNECT) a tímom CERT‑EU. Ide o veľmi kvalitný vzdelávací program, ktorý má v mnohých prípadoch medziinštitucionálny dosah. O školeniach sa informuje vo vestníku Learning Bulletin, ku ktorému má prístup približne 65 000 zamestnancov EÚ. Prostredníctvom platformy „Cyber Aware“ Komisia v posledných piatich rokoch zorganizovala 15 testov simulovaného phishingu a nedávno uskutočnila prvý test zahŕňajúci celú Komisiu.
Základné kontroly sa nie vždy vykonávajú a nie sú formálne prenesené do noriem
37 Inštitúcie, orgány a agentúry EÚ sme požiadali, aby zhodnotili, ako vykonávajú vybrané základné kontroly[22]. Vybrali sme súbor osvedčených postupov, ktoré by mohla v primeranom rozsahu vykonávať aj menšia organizácia[23]. Výsledky sú zhrnuté na ilustrácii 5. Väčšina inštitúcií, orgánov a agentúr EÚ zaradených do prieskumu vybrané základné kontrolné mechanizmy zaviedla. V niektorých oblastiach sa však v prípade minimálne 20 % inštitúcií, orgánov a agentúr EÚ kontrolné mechanizmy zdajú byť nedostatočné alebo obmedzené.
38 Sedem inštitúcií, orgánov a agentúr EÚ zaradených do prieskumu sme požiadali o podklady a príslušné normy/politiky za každú kontrolu, o ktorej uviedli, že bola vykonaná. Tieto dokumenty sme dostali za 62 % kontrol. Ako bolo objasnené počas rozhovorov, v niekoľkých prípadoch boli technické kontroly zavedené, neboli však formálne zapracované do – aktuálnych – noriem alebo politík, čo zvyšuje riziko, že problémy s bezpečnosťou IT nebudú v danej inštitúcii, orgáne alebo agentúre EÚ nebudú riešené jednotne (pozri aj bod 24).
V niekoľkých inštitúciách, orgánoch a agentúrach EÚ nie sú opatrenia v oblasti kybernetickej bezpečnosti pravidelne nezávisle overované
39 Podľa asociácie ISACA[24] je vnútorný audit v organizácii jednou z troch základných obranných línii, pričom ďalšími dvomi sú manažment a riadenie rizík. Vnútorné audity prispievajú k zlepšeniu správy informačnej bezpečnosti a bezpečnosti IT. Skúmali sme, ako často inštitúcie, orgány a agentúry EÚ vykonávajú nezávislé overovanie svojho rámca bezpečnosti IT prostredníctvom vnútorných alebo vonkajších auditov a proaktívneho testovania svojej kybernetickej obranyschopnosti.
40 Útvar Komisie pre vnútorný audit (IAS) je okrem iného zodpovedný za vykonávanie auditov IT v Komisii, decentralizovaných agentúrach, spoločných podnikoch a ESVČ. Do oblasti pôsobnosti útvaru patrí 46 (70 %) zo 65 inštitúcií, orgánov a agentúr EÚ, ktoré boli súčasťou nášho prieskumu, a za posledných päť rokov útvar uskutočnil audity bezpečnosti IT v šiestich rôznych inštitúciách, orgánoch a agentúrach EÚ. GR HR je navyše oprávnené vykonávať kontroly bezpečnosti IT zahŕňajúce technické aspekty informačnej bezpečnosti[25]. Sedem zo zvyšných inštitúcií, orgánov a agentúr EÚ uviedlo, že majú vlastný útvar vnútorného auditu, ktorý overuje aspekty IT, no odpovede dvanástich inštitúcií, orgánov a agentúr EÚ v našom prieskume neboli dostatočné na to, aby sme mohli zistiť, či takéto audítorské kapacity majú.
41 Vonkajšie audity bezpečnosti IT realizované nezávislými subjektmi sú ďalším spôsobom, ako získať nezávislé uistenie. Napriek rýchlo sa meniacemu kybernetickému prostrediu sa v 34 % inštitúcií, orgánov a agentúr EÚ od začiatku roku 2015 do prvého štvrťroku 2021 neuskutočnil žiadny vnútorný ani vonkajší audit bezpečnosti IT. Z analýzy tohto údaju podľa typu subjektu EÚ vyplýva, že žiadny vnútorný ani vonkajší audit bezpečnosti IT od roku 2015 nerealizovalo 75 % orgánov EÚ, 66 % spoločných podnikov a 45 % civilných misií.
42 Okrem vnútorných a vonkajších auditov môžu organizácie získať uistenie o svojich rámcoch bezpečnosti IT aj proaktívnym testovaním svojej kybernetickej obranyschopnosti s cieľom identifikovať slabé miesta. Jednou z metód sú penetračné testy (označované aj ako etické hekerstvo), ktoré pozostávajú z povolených simulovaných kybernetických útokov na jednotlivé počítačové systémy. 69 % inštitúcií, orgánov a agentúr EÚ v našom prieskume uviedlo, že za posledných päť rokov vykonali aspoň jeden penetračný test. V 45 % prípadov penetračný test vykonal tím CERT‑EU.
43 Testy tzv. červených tímov sú ďalším spôsobom overovania kybernetickej obranyschopnosti. Ide o simulované útoky, pri ktorých sa používajú metódy, ktoré boli nedávno použité pri skutočných útokoch. Sú komplexnejšie a podrobnejšie ako penetračné testy, pretože sú zamerané na viaceré systémy a potenciálne spôsoby útoku. Inštitúcie, orgány a agentúry EÚ ich vykonávajú zriedkavejšie: 46 % respondentov uviedlo, že za posledných päť rokov sa v ich inštitúcii, orgáne alebo agentúre EÚ uskutočnil aspoň jeden simulovaný útok červeného tímu. Tím CERT‑EU vykonal 75 % týchto testov. Simulované útoky červeného tímu si vyžadujú rozsiahlu prípravu a ich vykonanie je pracovne náročné a tím CERT‑EU má v súčasnosti kapacitu zrealizovať maximálne päť alebo šesť takýchto testov za rok.
44 Ak nepočítame dva nedávno zriadené subjekty, 16 (25 %) inštitúcií, orgánov a agentúr EÚ, ktoré boli súčasťou prieskumu, neuskutočnilo za posledných päť rokov žiadne penetračné testy ani simulované útoky červeného tímu. Celkovo sedem inštitúcií, orgánov alebo agentúr EÚ (10 %) nepodstúpilo žiadnu formu nezávislého overenia opatrení v oblasti bezpečnosti IT: jeden spoločný podnik, jedna decentralizovaná agentúra a päť civilných misií.
Inštitúcie, orgány a agentúry EÚ zaviedli mechanizmy spolupráce, ktoré však majú nedostatky
45 V tejto časti správy sa venujeme subjektom a výborom zriadeným na podporu spolupráce medzi inštitúciami, orgánmi a agentúrami EÚ v oblasti kybernetickej bezpečnosti, ako aj medziinštitucionálnym riadiacim a koordinačným mechanizmom. Konkrétne sme skúmali dva medziinštitucionálne subjekty – agentúru ENISA a tím CERT‑EU, a dva medziinštitucionálne výbory – medziinštitucionálny výbor pre digitálnu transformáciu (ICDT), a najmä jeho podskupinu pre kybernetickú bezpečnosť (CSSG), a poradný výbor pre informačné a komunikačné technológie (ICTAC). Posudzovali sme tiež, do akej miery tieto priniesli tieto subjekty synergie, ktoré by prispeli k zvýšeniu pripravenosti inštitúcií, orgánov a agentúr v oblasti kybernetickej bezpečnosti.
Inštitúcie, orgány a agentúry EÚ majú formálne stanovenú štruktúru na koordináciu svojich činností, aj keď s jej správou sú spojené určité problémy
46 Výbory ICDT a ICTAC sú dva hlavné výbory, ktoré podporujú spoluprácu medzi inštitúciami, orgánmi a agentúrami EÚ v oblasti informačných technológií. Výbor ICDT, ktorého členmi sú manažéri z oblasti informačných technológií z inštitúcií a orgánov EÚ, je fórum na posilnenie výmeny informácií a spolupráce. Má podskupinu pre kybernetickú bezpečnosť (ICDT CSSG), ktorá podáva správy výboru ICDT a ktorá môže odporučiť prijatie rozhodnutí v konkrétnych otázkach. Na druhej strane je výbor ICTAC podskupinou Siete agentúr EÚ (EUAN), čo je neformálna sieť zriadená riaditeľmi agentúr EÚ, ktorá je zameraná na spoluprácu medzi agentúrami a spoločnými podnikmi. Výbory ICDT a ICTAC majú jasne vymedzené komplementárne úlohy: Výbor ICTAC zastrešuje decentralizované agentúry a spoločné podniky, zatiaľ čo výbor ICDT zastrešuje inštitúcie a orgány. Vzhľadom na povahu sú výbory ICDT a ICTAC skôr neformálne poradné skupiny a fóra na výmenu informácií a osvedčených postupov. Viac informácií o týchto medziinštitucionálnych výboroch sa uvádza v prílohe II.
Zastúpenie inštitúcií, orgánov a agentúr EÚ v príslušných fórach nie je vždy dostatočné
47 Hoci sú štruktúry zastúpenia jasné, nie všetky inštitúcie, orgány a agentúry EÚ považujú svoje aktuálne zastúpenie za dostatočné. Keď sme sa v prieskume pýtali na stanovisko k vyhláseniu „Naše potreby sú na príslušných medziinštitucionálnych fórach dostatočne zohľadnené a naša inštitúcia má primerané zastúpenie v rozhodovacích radách“, 42 % inštitúcií, orgánov a agentúr EÚ nesúhlasilo. Niektoré z tých najmenších sa domnievali, že nemajú dostatok prostriedkov na aktívnu účasť na medziinštitucionálnych fórach.
48 Riadiaca rada tímu CERT‑EU, jeho hlavný rozhodovací orgán, tiež nie je zástupca svojich zúčastnených strán ako celku. Tím CERT‑EU poskytuje služby 87 inštitúciám, orgánom a agentúram EÚ a trom ďalším subjektom. V jeho riadiacej rade sú však zastúpení len 11 signatári medziinštitucionálnej dohody (sedem inštitúcií EÚ a ESVČ, Európsky hospodársky a sociálny výbor, Výbor regiónov a Európska investičná banka) a zástupca agentúry ENISA, pričom každý zástupca má jeden hlas[26].
49 Viac než polovica zúčastnených strán tímu CERT‑EU sú decentralizované agentúry a spoločné podniky EÚ, ktoré majú spolu približne 12 000 zamestnancov. Formálne sú ich záujmy zastupované v riadiacej rade tímu CERT‑EU agentúrou ENISA. Mandát agentúry ENISA na zastupovanie agentúr a spoločných podnikov EÚ je slabý, keďže nimi nebola menovaná priamo ani zvolená. Prakticky sú stanoviská decentralizovaných agentúr a spoločných podnikov vyjadrené na zasadnutiach riadiacej rady zástupcom výboru ICTAC, ktorý sa ich môže zúčastniť s cieľom pomôcť agentúre ENISA pri jej úlohe zastupovania agentúr. Napriek vyjadreniu stanovísk a záujmov 48 inštitúcií, orgánov a agentúr EÚ, zástupca výboru ICTAC nemá v súčasnosti v riadiacej rade formálne kreslo ani hlas. Výbor ICTAC zaslal v apríli 2021 predsedovi riadiacej rady tímu CERT‑EU formálnu žiadosť o hlasovacie práva v rade. V čase písania tohto dokumentu ešte nebola táto žiadosť schválená. Prehľad zastúpenia inštitúcií, orgánov a agentúr EÚ v rozhodovacích radách a výboroch je zobrazený na ilustrácii 6.
50 Medziinštitucionálne riadenie kybernetickej bezpečnosti inštitúcií, orgánov a agentúr EÚ je roztrieštené a v súčasnosti nemá ani jeden subjekt komplexný prehľad o vyspelosti kybernetickej bezpečnosti v nich, ani právomoc ujať sa vedúcej úlohy alebo presadzovať dodržiavanie spoločných záväzných pravidiel. Agentúra ENISA a tím CERT‑EU môžu inštitúciám, orgánom a agentúram EÚ len poskytovať „podporu“ a „pomoc“. Príslušné výbory nemajú rozhodovaciu právomoc a inštitúciám, orgánom a agentúram EÚ len môžu poskytnúť odporúčania. Navyše pätine inštitúcií, orgánov a agentúr EÚ zaradených do prieskumu nie je jasné, kde majú vyhľadať konkrétnu službu, nástroj alebo riešenie.
Memorandá o porozumení medzi kľúčovými aktérmi existujú, no doteraz nepriniesli konkrétne výsledky
51 Memorandum o porozumení medzi agentúrou ENISA, tímom CERT‑EU, Európskym centrom boja proti počítačovej kriminalite (EC3) v rámci Europolu a Európskou obrannou agentúrou (EDA) bolo podpísané v máji 2018. Je zamerané na päť oblastí spolupráce: výmena informácií, vzdelávanie a odborná príprava, kybernetické cvičenia, technická spolupráca a strategické a administratívne záležitosti. Hoci by toto memorandum o porozumení mohlo vďaka spoločnému pracovnému programu pomôcť vyhnúť sa duplikácii činností, nič nenasvedčuje tomu, že by viedlo ku konkrétnym výstupom a prijatiu spoločných opatrení.
52 V akte o kybernetickej bezpečnosti, ktorý nadobudol účinnosť v júni 2019, sa predpokladalo, že bude podpísaná nová konkrétna dohoda o spolupráci medzi tímom CERT‑EU a agentúrou ENISA. Stojí za povšimnutie, že trvalo viac než dva roky, kým sa nakoniec vo februári 2021 memorandum o porozumení podpísalo. Cieľom tohto memoranda je zaviesť štruktúrovanú spoluprácu medzi tímom CERT‑EU a agentúrou ENISA. Vymedzuje oblasti ich spolupráce (budovanie kapacít, operačná spolupráca a poznatky a informácie) a stanovuje približné rozdelenie úloh medzi nimi: CERT‑EU povedie poskytovanie pomoci inštitúciám, orgánom a agentúram EÚ a agentúra ENISA sa bude na tomto úsilí podieľať. V memorande sa nevymedzujú praktické opatrenia, pretože tie sú stanovené v ročnom pláne spolupráce. Prvý ročný plán spolupráce na rok 2021 prijala správna rada agentúry ENISA v júli 2021 a riadiaca rada tímu CERT‑EU v septembri 2021. Preto je príliš skoro na to, aby sme v rámci tohto auditu mohli posúdiť, či tento plán priniesol konkrétne výsledky.
53 Keďže obe memorandá o porozumení spomenuté v bodoch 51 a 52 majú spoločné ciele a oblasti spolupráce, ako je odborná príprava, testovanie či výmena informácií, vzniká riziko, že dôjde k prekrývaniu činností a zbytočným snahám.
Potenciálne synergie vyplývajúce zo spolupráce zatiaľ nie sú plne využité
Pozitívne kroky na dosiahnutie synergií
54 V pracovných programoch výboru ICTAC a podskupiny ICDT CSSG sú vymedzené príslušné tematické oblasti, v ktorých sa dá prostredníctvom spolupráce zvýšiť efektívnosť. Praktické príklady iniciatív, ktoré inštitúciám, orgánom a agentúram EÚ umožnili ťažiť zo synergií, zahŕňajú:
- medziinštitucionálne rámcové zmluvy,
- spoločné centrum pre obnovu po havárii prevádzkované od roku 2019 Úradom Európskej únie pre duševné vlastníctvo (EUIPO) pre decentralizované agentúry, ktoré umožňuje dosiahnuť úsporu nákladov vo výške najmenej 20 % v porovnaní s trhovými cenami (toto riešenie obnovy po havárii využíva deväť agentúr),
- dohody o používaní spoločnej infraštruktúry a spoločného rámca bezpečnosti IT medzi šiestimi spoločnými podnikmi so sídlom v tej istej budove (od roku 2014).
55 Ďalším dôležitým príkladom je systém „GovSec“, ktorý inštitúciám, orgánom a agentúram EÚ pomáha vykonávať posúdenia rizík v súvislosti so zavádzaním cloudových riešení. Podľa nášho prieskumu verejne dostupné cloudové platformy už používa 75 % inštitúcií, orgánov a agentúr EÚ a niektoré z tých, ktoré ich zatiaľ nepoužívajú, plánujú cloud začať využívať. Komisia od roku 2019 uplatňuje prístup „najprv cloud“ s cieľom zaistiť možnosť bezpečných hybridných multicloudových služieb[27]. Komisia pôsobí aj ako cloudový sprostredkovateľ pre všetky inštitúcie, orgány a agentúry v rámcovej zmluve Cloud II. Riadenie rizík bezpečnosti a ochrany údajov na cloudových platformách si vyžaduje nové zručnosti a odlišný prístup v porovnaní s tradičnou infraštruktúrou informačných technológií „na mieste“. Účinné riadenie rizík v oblasti informačnej bezpečnosti v cloude je spoločná výzva pre inštitúcie, orgány a agentúry EÚ a systém GovSec je príkladom riešenia, ktoré môže reagovať na potreby niektorých, ak nie všetkých inštitúcií, orgánov a agentúr EÚ.
Spolupráca a výmena postupov medzi inštitúciami, orgánmi a agentúrami EÚ stále nie je optimálna
56 Z existencie medziinštitucionálnych výborov automaticky nevyplývajú synergie a inštitúcie, orgány a agentúry EÚ si nie vždy vymieňajú osvedčené postupy, expertízu, metodiky a získané poznatky. Okrem toho je na každom subjekte EÚ, aby sa rozhodol, do akej miery sa bude angažovať v práci podskupiny ICDT CSSG. Členovia podskupiny ICDT CSSG sa síce môžu zúčastňovať na zasadnutiach, no ich príspevok je obmedzený rozsahom ich bežných povinnosti v príslušných inštitúciách, orgánoch a agentúrach EÚ, čo už spomalilo postup zavádzania opatrení, na ktorých sa niektoré pracovné skupiny dohodli.
57 Zistili sme, že sú konkrétne oblasti, v ktorých inštitúcie, orgány a agentúry EÚ nemajú k dispozícii žiadne mechanizmy, ktoré by im umožňovali vymieňať si skúsenosti a iniciatívy. Napríklad na základe rámcovej zmluvy Obranyschopnosť sietí (NDC) si inštitúcie, orgány a agentúry EÚ môžu vyžiadať štúdiu na zjednotenie požiadaviek na kybernetickú bezpečnosť a na získanie riešení. Neexistuje však databáza takýchto štúdií, ktoré vypracovali alebo ktoré si vyžiadali iné inštitúcie, orgány a agentúry EÚ, a inštitúcie, orgány a agentúry EÚ si preto môžu viackrát vyžiadať rovnakú štúdiu. Inštitúcie, orgány a agentúry EÚ si navyše navzájom neoznamujú, že majú zmluvné vzťahy s určitými dodávateľmi alebo že používajú určitý softvér. Táto informačná medzera môže viesť k dodatočným nákladom a chýbajúcim synergiám.
58 Inštitúcie, orgány a agentúry EÚ si systematicky nevymieňajú informácie o projektoch kybernetickej bezpečnosti, ktoré uskutočňujú, ani v prípade, ak by mohli mať medziinštitucionálny dosah. Mandát podskupiny ICDT CSSG zahŕňa ustanovenie, podľa ktorého si majú inštitúcie, orgány a agentúry EÚ vymieňať informácie o nových projektoch, ktoré potenciálne postihujú kybernetickú bezpečnosť ostatných inštitúcií, orgánov a agentúr EÚ a/alebo ochranu informácií, ktoré z nich pochádzajú. Podskupina ICDT CSSG však nie je o takýchto projektoch informovaná.
59 Keď sa založí nová agentúra, musí si od základov vybudovať svoju IT infraštruktúru a bezpečnostný rámec informačných technológií. Nové agentúry nemajú k dispozícii žiadny „katalóg služieb“, súbor nástrojov alebo jasné usmernenia/požiadavky. Výsledkom je značná rôznorodosť IT prostredí v inštitúciách, orgánoch a agentúrach EÚ, kde si každá organizácia môže nezávisle zaobstarať svoj vlastný softvér, hardvér, infraštruktúru a služby. To isté platí pre bezpečnostný rámec informačných technológií, keďže chýbajú spoločné požiadavky a normy. Táto situácia vedie k potenciálnej duplikácii úsilia a neefektívnemu využívaniu finančných prostriedkov EÚ, ale aj k väčším komplikáciám pre tím CERT‑EU, pokiaľ ide o podporu, ktorú má poskytnúť.
Praktické nedostatky pri výmene citlivých informácií
60 Niektoré inštitúcie, orgány a agentúry EÚ stále nemajú primerané riešenia na výmenu citlivých neutajovaných informácií. V prípade organizácií, ktoré vo všeobecnosti prijali svoje vlastné odlišné produkty a systémy, predstavuje interoperabilita problém. Spoločné bezpečnostné platformy existujú len na konkrétne účely, napríklad platformy tímu CERT‑EU poskytujú všetkým zúčastneným stranám možnosť výmeny citlivých informácií o incidentoch, hrozbách a slabých miestach.
61 Napríklad viac než 20 % inštitúcií, orgánov a agentúr EÚ nemá šifrovanú e‑mailovú službu. Tieto organizácie často čelia problémom s interoperabilitou a neuznávaním certifikátov. Výbory ICTAC a ICDT roky diskutovali o možnostiach škálovateľného a interoperabilného riešenia a v roku 2018 vznikol pilotný projekt. Tento problém sa však stále nevyriešil.
62 Ďalším problémom je absencia spoločného označovania citlivých neutajovaných informácií. Označenia predstavujú kategorizácie, ktoré držiteľom informácií uvádzajú konkrétne požiadavky na ochranu týchto informácií. V rámci inštitúcií, orgánov a agentúr EÚ sa líšia, čím sa komplikuje výmena a riadne spracovanie informácií.
63 V dôsledku pandémie COVID-19 v roku 2020 museli inštitúcie, orgány a agentúry EÚ na zaistenie kontinuity činností vo veľkej miere prijať komunikačné a videokonferenčné nástroje. Zistili sme, že v inštitúciách, orgánoch a agentúrach EÚ sa používalo najmenej 15 rôznych videokonferenčných softvérových riešení. Aj keď rôzne inštitúcie, orgány a agentúry EÚ používajú rovnaký softvér/platformu, interoperabilita stále často chýba, hoci všetky strany používajú to isté softvérové riešenie. Navyše sa usmernenia o tom, aké informácie (vzhľadom na citlivosť) sa môžu vymieňať alebo zverejňovať na danej platforme, v jednotlivých inštitúciách orgánoch a agentúrach EÚ líšia. Tieto problémy vedú k hospodárskej a prevádzkovej neefektívnosti a môžu spôsobiť bezpečnostné problémy.
ENISA a CERT‑EU zatiaľ inštitúciám, orgánom a agentúram EÚ neposkytujú všetku potrebnú podporu
64 V tomto oddiele sme sa zaoberali dvoma hlavnými subjektmi, ktorých úlohou je podpora inštitúcií, orgánov a agentúr EÚ v oblasti kybernetickej bezpečnosti: agentúrou ENISA a tímom CERT‑EU. Hodnotili sme, či inštitúcie, orgány a agentúry EÚ získali podporu, ktorú poskytujú oba tieto subjekty, a či táto podpora rieši ich potreby, a to pri súčasnom zdôraznení dôvodov zistených nedostatkov.
ENISA je kľúčovým aktérom v oblasti kybernetickej bezpečnosti v EÚ, jej podporu však zatiaľ dostal len veľmi malý počet inštitúcií, orgánov a agentúr EÚ
65 V júni 2019 nadobudol účinnosť Akt o kybernetickej bezpečnosti (CSA)[28], ktorý nahradil predchádzajúci právny základ agentúry ENISA[29] a ktorý poskytol agentúre silnejší mandát. Konkrétnejšie, v tomto akte sa uvádza, že agentúra ENISA má aktívne podporovať členské štáty aj inštitúcie, orgány a agentúry EÚ pri zvyšovaní kybernetickej bezpečnosti prostredníctvom budovania kapacít, zlepšovania operačnej kooperácie a vytvorenia synergií. V oblasti budovania kapacít má agentúra ENISA teraz mandát pomáhať inštitúciám, orgánom a agentúram EÚ „v ich úsilí zlepšovať prevenciu, odhaľovanie a analýzu kybernetických hrozieb a incidentov, a to najmä primeranou podporou tímu CERT‑EU“[30]. Agentúra ENISA má tiež pomáhať inštitúciám EÚ pri tvorbe a revízii stratégií Únie v oblasti kybernetickej bezpečnosti, podpore ich šírenia a monitorovaní pokroku v ich vykonávaní.
66 Hoci sa v akte o kybernetickej bezpečnosti jasne uvádza, že agentúra ENISA by mala inštitúciám, orgánom a agentúram EÚ poskytovať podporu pri zlepšovaní ich kybernetickej bezpečnosti, ENISA doteraz nevypracovala žiadne akčné plány týkajúce sa jej cieľa pomôcť týmto subjektom budovať ich kapacity EÚ (podrobnejšie informácie sa uvádzajú v rámčeku 3).
Nedostatočné zladenie cieľa agentúry ENISA a jej výstupov vo vzťahu k inštitúciám, orgánom a agentúram EÚ
K trojročným prioritám agentúry ENISA, ktoré sú uvedené vo viacročnom pracovnom programe na roky 2018 – 2020 v rámci cieľa 3.2 „Pomáhať inštitúciám EÚ pri budovaní kapacít“ patrí:
- „poskytovať aktívne poradenstvo inštitúciám Únie v oblasti posilnenia ich bezpečnosti sietí a informácií (NIS) (Identifikovať priority pre agentúry a orgány EÚ, ktoré najviac potrebujú budovať kapacity NIS, vytvorením pravidelných interakcií s nimi (napr. prostredníctvom každoročných seminárov) a zamerať sa na tieto priority)“,
- „poskytovať pomoc a podporu inštitúciám EÚ vzhľadom na prístupy k NIS (Vytvoriť partnerstvo s tímom CERT‑EU a inštitúciami so silnými spôsobilosťami v oblasti NIS s cieľom podporovať ich činnosti v rámci tohto cieľu“.
V pracovných programoch agentúry ENISA na rok 2018, 2019 a 2020 sú pod cieľom 3.2 uvedené len dva operačné ciele (výstupy):
- „účasť v riadiacej rade tímu CERT‑EU a zastupovanie agentúr EÚ prostredníctvom služby tímu CERT‑EU“,
- „spolupráca s príslušnými orgánmi EÚ v oblasti iniciatív zahŕňajúcich rozmer NIS týkajúci sa ich misií (vrátane EASA, CERT‑EU, EDA, EC3)“.
Operačné ciele nezahŕňajú žiadnu činnosť súvisiacu s aktívnym poradenstvom. Navyše cieľ identifikácie priorít pre agentúry s najväčšími potrebami nebol prenesený do operačných výstupov, keďže bol nahradený cieľom spolupráce s agentúrami na účely zastupovania ich potrieb v riadiacej rade tímu CERT‑EU.
67 Hlavným rozhodovacím orgánom agentúry ENISA je jej správna rada, ktorá pozostáva z jedného člena vymenovaného z každého z 27 členských štátov a dvoch členov menovaných Komisiou[31] (pozri ilustráciu 6). Každý člen má jeden hlas a rozhodnutie sa prijíma väčšinou hlasov[32]. Výsledkom je, že činnosti týkajúce sa členských štátov môžu mať vyššiu prioritu ako činnosti týkajúce sa inštitúcií, orgánov a agentúr EÚ. Napríklad v pracovnom programe agentúry ENISA na rok 2018 správna rada rozhodla, že z dôvodu nedostatku zdrojov dá prednosť určitým aktivitám a odstráni tri, z ktorých jednou bola „podpora posúdenia existujúcich politík/ postupov/praktík v oblasti NIS v inštitúciách EÚ“. Táto aktivita mala umožniť agentúre ENISA, aby vypracovala prehľad postupov a orientačnej vyspelosti v oblasti kybernetickej bezpečnosti inštitúcií, orgánov a agentúr EÚ ako základ pre budúce cielené činnosti.
68 Ambícia agentúry ENISA poskytovať aktívnu pomoc inštitúciám, orgánom a agentúram EÚ, ako je uvedené v jej strategických cieľoch, nebola preto prenesená do operačných cieľov alebo konkrétnych činností. Podpora v oblasti budovania kapacít a operačnej spolupráce bola doteraz obmedzená na niektoré konkrétne inštitúcie, orgány a agentúry EÚ a poskytovala sa na požiadanie.
69 V akte CSA je tiež uvedené, že agentúra ENISA má poskytnúť primeranú podporu tímu CERT‑EU s cieľom pomôcť inštitúciám, orgánom a agentúram EÚ pri budovaní kapacít. V čase auditu bola táto podpora obmedzená na niekoľko konkrétnych činností. Napríklad agentúra ENISA vykonala v roku 2019 partnerské preskúmanie tímu CERT‑EU v súvislosti so svojím členstvom v sieti EÚ CSIRT (zriadenej smernicou NIS).
70 Podľa odpovedí v našom prieskume agentúra ENISA uverejňuje kvalitné správy a usmernenia o kybernetickej bezpečnosti, z ktorých niektoré používajú inštitúcie, orgány a agentúry EÚ. Neexistujú však konkrétne usmernenia zamerané na inštitúcie, orgány a agentúry EÚ a na ich vlastné prostredie a potreby. Inštitúcie, orgány a agentúry EÚ, najmä tie menej vyspelé v kybernetickej bezpečnosti, potrebujú praktické usmernenia nielen o tom „čo“ robiť, ale aj „ako“ to robiť. Agentúra ENISA a tím CERT‑EU doteraz takúto podporu poskytovali v obmedzenom rozsahu a nesystematicky.
71 ENISA usporiadala niekoľko školení o kybernetickej bezpečnosti, ktoré boli zamerané predovšetkým na orgány členských štátov, no zúčastnil sa na nich aj malý počet záujemcov z inštitúcií, orgánov a agentúr EÚ. Poskytla len dva kurzy vo forme samoštúdia, ktoré boli zamerané konkrétne na inštitúcie, orgány a agentúry EÚ. Agentúra ENISA na svojich webových stránkach ponúka aj materiály k online vzdelávaniu, ku ktorým majú prístup aj inštitúcie, orgány a agentúry EÚ, no doteraz išlo hlavne o kurzy pre technických expertov jednotiek CSIRT a pre väčšinu inštitúcií, orgánov a agentúr tak neboli užitočné.
72 Okrem poskytovania odborného vzdelávania môže agentúra ENISA inštitúcie, orgány a agentúry EÚ podporovať aj testovaním kybernetickej bezpečnosti. V októbri 2020 pomáhala ENISA, v spolupráci s tímom CERT‑EU, s realizáciou testovania kybernetickej bezpečnosti pre výbor ICTAC. Išlo o jediné testovanie, ktoré agentúra ENISA zorganizovala špecificky pre účastníkov z inštitúcií, orgánov a agentúr EÚ. Agentúra ENISA okrem toho pomáhala aj pri organizácii niekoľkých cvičení na požiadanie niektorej z inštitúcií, orgánov a agentúr EÚ (napr. EU-LISA, EMSA, Európsky parlament a Europol), a to najmä pre zainteresované strany v orgánoch členských štátov, za účasti niekoľkých zamestnancov inštitúcií, orgánov a agentúr EÚ.
73 Na základe aktu o kybernetickej bezpečnosti agentúra ENISA dostala aj novú úlohu, a to pomáhať inštitúciám, orgánom a agentúram EÚ na dobrovoľnom základe s ich postupmi zverejňovania informácií o zraniteľnosti. Agentúra ENISA však stále nemá prehľad politík zverejňovania informácií o zraniteľnosti jednotlivých inštitúcií, orgánov a agentúr EÚ a neposkytuje im pomoc pri ich vytváraní a vykonávaní.
Zúčastnené strany si tím CERT‑EU vysoko cenia, jeho prostriedky však nezodpovedajú súčasným výzvam v oblasti kybernetickej bezpečnosti
74 V nadväznosti na súbor iniciatív (pozri ilustráciu 7) bol v septembri 2012 na základe rozhodnutia Komisie[33] zriadený tím reakcie na núdzové počítačové situácie (CERT‑EU) ako stála pracovná skupina pre inštitúcie, orgány a agentúry EÚ (pozri bod 08).
75 Hoci tím CERT‑EU funguje nezávisle, zostáva pracovnou skupinou bez právnej subjektivity. Administratívne pôsobí v rámci Európskej komisie (GR DIGIT), od ktorej dostáva logistickú a administratívnu podporu. Účelom tímu CERT‑EU je prispieť k vyššej bezpečnosti infraštruktúry IKT v inštitúciách, orgánoch a agentúrach EÚ posilňovaním ich schopnosti zvládať kybernetické hrozby, riešiť zraniteľné miesta, predchádzať kybernetickým útokom, odhaľovať ich a reagovať na ne. Tím CERT‑EU má približne 40 zamestnancov rozdelených do tímov odborníkov zameraných napríklad na spravodajské informácie o kybernetických hrozbách, digitálnu forenznú analýzu či reakciu na incidenty.
CERT‑EU je uznávaný partner, jeho pracovná záťaž sa však zvyšuje
76 Tím CERT‑EU žiada zúčastnené strany o spätnú väzbu a návrhy v rámci štvrťročných seminárov a každoročných bilaterálnych zasadnutí, ako aj prostredníctvom prieskumov spokojnosti. Podľa prieskumov spokojnosti i nášho vlastného prieskumu sú zúčastnené strany so službami, ktoré tím poskytuje, zväčša spokojné. Vývoj zmien v katalógu služieb tímu CERT‑EU svedčí o jeho úsilí prispôsobiť sa potrebám inštitúcií, orgánov a agentúr EÚ.
77 Zatiaľ čo veľké inštitúcie, orgány a agentúry EÚ so značnými internými kapacitami zvyknú tím CERT‑EU používať najmä ako informačné stredisko a zdroj spravodajských informácií o hrozbách, menšie inštitúcie, orgány a agentúry EÚ využívajú širšiu škálu jeho služieb, ako sú napríklad monitorovacie protokoly, penetračné testy, simulovanie útokov červeným tímom či podpora reakcie na incidenty. Vzhľadom na to, že menšie inštitúcie, orgány a agentúry EÚ disponujú len obmedzenou internou expertízou a nedostatočnými úsporami z rozsahu, služby tímu CERT‑EU sú pre ne obzvlášť cenné (pozri body 31 a 33).
78 Vzhľadom na dramatický nárast hrozieb a incidentov posilnil tím CERT‑EU v posledných rokoch svoje kapacity a postupy. Počet informačných produktov tímu CERT‑EU, najmä výstrah pred hrozbami a oznamov o hrozbách, neustále narastá (ilustrácia 8). V roku 2020 tím CERT‑EU vydal 171 oznamov o hrozbách a 53 výstrah (čo je podstatne viac ako 80 oznamov a 40 výstrah, ktoré pôvodne predpokladal).
79 Tím CERT‑EU podporuje inštitúcie, orgány a agentúry EÚ aj pri riešení kybernetických incidentov. Zatiaľ čo 52 % inštitúcií, orgánov a agentúr EÚ má interný tím alebo aspoň koordinátora reakcie na incidenty, zvyšných 48 % sa v prípade incidentu spolieha na tím CERT‑EU a/alebo na iných externých poskytovateľov. Aj veľké inštitúcie, orgány a agentúry EÚ s vlastnými kapacitami reakcie však môžu tím CERT‑EU požiadať o podporu pri riešení zložitých incidentov.
80 Celkový počet incidentov, ktoré riešil tím CERT‑EU, sa zvýšil z 561 v roku 2019 na 884 v roku 2020. A konkrétne počet závažných incidentov vzrástol z jediného v roku 2018 na 13 v roku 2020. V roku 2021 došlo k 17 závažným incidentom, čo predstavuje nárast oproti 13 v roku 2020, ktorý bol už sám osebe rekordným rokom. Pôvodom týchto závažných incidentov sú spravidla mimoriadne sofistikované hrozby. Môžu zasiahnuť viaceré inštitúcie, orgány a agentúry EÚ a zahŕňať aj kontakt s úradmi. Ich prešetrenie a odstránenie trvá zasiahnutým subjektom a tímu CERT‑EU obvykle týždne až mesiace.
81 Tím CERT‑EU je aj hlavným poskytovateľom proaktívnych posúdení a testov kybernetickej obranyschopnosti inštitúcií, orgánov a agentúr EÚ. Zhrnutie činnosti tímu CERT‑EU v tejto oblasti je zobrazené na ilustrácii 9. Od roku 2020 tím navyše vykonáva aj skenovanie externých sietí.
Zúčastnené strany neposkytujú tímu CERT‑EU včas relevantné informácie
82 V medziinštitucionálnej dohode[34] sa uvádza, že zúčastnené strany by mali tím CERT‑EU informovať o závažných incidentoch ohrozujúcich kybernetickú bezpečnosť. V praxi k tomu však vždy nedochádza. V medziinštitucionálnej dohode sa nestanovuje mechanizmus na vymáhanie povinného a včasného ohlasovania „závažných“ incidentov zúčastnenými stranami tímu CERT‑EU. Všeobecným vymedzením pojmu „závažné incidenty“ v medziinštitucionálnej dohode sa ponecháva na inštitúcie, orgány a agentúry EÚ, aby zvážili, či incident ohlásia. Podľa vedenia tímu CERT‑EU niektoré zúčastnené strany neposkytujú včas informácie o závažných incidentoch, čo tímu komplikuje úlohu fungovať ako centrum pre výmenu informácií o kybernetickej bezpečnosti a koordináciu reakcie na incidenty pre všetky inštitúcie, orgány a agentúry EÚ. Napríklad jedna zúčastnená strana, ktorá čelila veľmi sofistikovanej hrozbe, o tom tím CERT‑EU neinformovala a ani ho nepožiadala o podporu. Tím CERT‑EU v dôsledku toho nemohol zhromaždiť spravodajské informácie o kybernetických hrozbách, ktoré mohli byť užitočné aj pre iné zúčastnené strany, ktoré boli konfrontované s tou istou hrozbou. Tento útok zasiahol najmenej šesť inštitúcií, orgánov a agentúr EÚ.
83 Zúčastnené strany neposkytujú tímu CERT‑EU včas a aktívne ani informácie o kybernetických hrozbách a zraniteľných miestach v oblasti kybernetickej bezpečnosti, ktoré sa ich týkajú, a to ani napriek tomu, že sa to vyžaduje v medziinštitucionálnej dohode[35]. Útvar v rámci tímu CERT‑EU špecializujúci sa digitálnu forenznú analýzu a reakciu na incidenty nedostáva informácie o zraniteľných miestach a nedostatkoch v kontrolách, ktoré sa zistia inak ako pri aktívnom vyšetrovaní incidentov. Zúčastnené strany neposkytujú aktívne príslušné zistenia z vnútorných alebo vonkajších bezpečnostných auditov.
84 V medziinštitucionálnej dohode navyše nie je pre inštitúcie, orgány a agentúry EÚ stanovená povinnosť nahlasovať tímu CERT‑EU dôležité zmeny vo svojich IT prostrediach, a zúčastnené strany preto tím CERT‑EU o relevantných zmenách systematicky neinformujú. Napríklad inštitúcie, orgány a agentúry EÚ neinformujú vždy tím CERT-EÚ o zmenách vo svojich IP rozsahoch (t. j. zoznam internetových adries svojej infraštruktúry). Tím CERT‑EU potrebuje aktuálne IP rozsahy, aby napríklad mohol vykonať skenovanie, keď sa zistia väčšie zraniteľné miesta. Neinformovanie tímu CERT‑EU inštitúciami, orgánmi a agentúrami EÚ o takýchto zmenách môže postihnúť jeho schopnosť poskytnúť im podporu. Neoznamovanie tímu CERT‑EU má tiež vplyv na jeho schopnosť monitorovať systémy a spôsobuje väčšie množstvo práce vynaloženej na opravu nesprávnych údajov v monitorovacích nástrojoch. Podľa informácií vedenia tím CERT‑EU pri riešení incidentu niekedy objaví dovtedy neznámu IT infraštruktúru. Navyše, bez ohľadu na konkrétne prípady, tím CERT‑EU nemá v súčasnosti komplexný prehľad o IT systémoch a sieťach komunity inštitúcií, orgánov a agentúr EÚ.
85 Kým nebude v medziinštitucionálnej dohode stanovený mechanizmus na presadzovanie pravidiel, budú oznámenia inštitúcií, orgánov a agentúr EÚ adresované tímu CERT‑EU aj naďalej nesystematické, a to aj napriek tomu, že ide základný prvok kybernetickej pripravenosti komunity inštitúcií, orgánov a agentúr EÚ sústredených okolo tímu CERT‑EU.
Zaisťovanie zdrojov pre tím CERT‑EU je nestabilné a nezodpovedá súčasnej úrovni hrozieb
86 V medziinštitucionálnej dohode[36] sa uvádza, že „tímu CERT‑EU by sa malo poskytnúť udržateľné financovanie a personálne obsadenie, a to pri zabezpečení nákladovej efektívnosti a primeranej základne stálych zamestnancov“. Najdôležitejším kapitálom pre tím CERT‑EU sú vysoko kvalifikovaní a špecializovaní zamestnanci. Na ilustrácii 10 je znázornená zmena stavu zamestnancov v tíme CERT‑EU od jeho vzniku v roku 2011 do súčasnosti.
87 Viac než dve tretiny zamestnancov tímu CERT-EÚ má zmluvy na dobu určitú. Ich platy na trhu odborníkov na kybernetickú bezpečnosť nie sú veľmi konkurencieschopné a podľa manažmentu tímu CERT‑EU je stále náročnejšie ich získať a následne udržať. Ak nie sú platy pre skúsenejších uchádzačov dosť atraktívne, tím CERT‑EU sa musí obrátiť na menej skúsených zamestnancov a investovať čas do ich zaškolenia. Zmluvy sú navyše v trvaní maximálne šesť rokov, čo znamená, že tím CERT‑EU nemá na výber a musí nechať zamestnanca odísť na vrchole jeho odborných znalostí. Fluktuácia zamestnancov bola mimoriadne vysoká v roku 2020: Z tímu CERT‑EU odišlo 21 % zamestnancov a nie všetky miesta sa dali opäť obsadiť. Pokiaľ ide o predchádzajúce roky, v roku 2019 odišlo 9 % zamestnancov a v roku 2018 odišlo 13 % zamestnancov.
88 Vedenie tímu CERT‑EU zdôraznilo, že tím reakcie na incidenty v rámci CERT‑EU je v súčasnosti často preťažený a jeho ostatné tímy nedokážu držať krok s dopytom. Tím CERT‑EU bol preto nútený obmedziť svoje činnosti. V súčasnosti napríklad pre nedostatočné zdroje nevykonáva posúdenia vyspelosti zúčastnených strán. Služba tímu CERT‑EU pre „výstrahy pred podozrivou aktivitou“ začala pracovať neskôr ako sa očakávalo, a to opäť v dôsledku nedostatku zdrojov. Okrem toho niekoľko zúčastnených strán, s ktorými sme sa rozprávali, malo pripomienky k dlhej dobe čakania, kým sa dostali k službám tímu CERT‑EU.
89 V dôsledku obmedzených zdrojov sa musel tím CERT‑EU doteraz zameriavať najmä na ochranu konvenčnej IT infraštruktúry „na mieste“ proti hlavným hrozbám od skupín (obvykle podporovaných vlastným štátom), ktoré predstavujú vyspelé trvalé hrozby. Podľa manažmentu však rozšírený IT okruh inštitúcií, orgánov a agentúr EÚ (teraz zahŕňa cloud, mobilné zariadenia a nástroje na práce z domu) vyžaduje zvýšené monitorovanie a ochranu, pričom väčšiu pozornosť si vyžadujú aj hrozby na nižšej úrovni (ako je počítačová kriminalita a ransomware).
90 V medziinštitucionálnej dohode nie je uvedené, že prevádzkové kapacity tímu CERT‑EU majú byť dostupné dvadsaťštyri hodín denne, sedem dní v týždni. Tím CERT‑EU v súčasnosti nemá zdroje ani vhodný rámec pre ľudské zdroje, aby mohol trvale a štruktúrovaným spôsobom fungovať mimo pracovného času, hoci útoky na kybernetickú bezpečnosť sa nedejú len v pracovnom čase. V prípade samotných inštitúcií, orgánov a agentúr EÚ len 35 zo 65 inštitúcií, orgánov a agentúr EÚ zaradených do prieskumu má IT pracovníka, ktorý je k dispozícii mimo pracovnej doby.
91 Riadiaca rada schválila v roku 2012 model dohody o úrovni poskytovaných služieb (SLA) na účely financovania činností tímu CERT‑EU. Všetky zúčastnené strany získajú základné služby bezplatne a po podpísaní SLA si môžu zaplatiť poskytovanie rozšírených služieb. Rozpočet tímu CERT‑EU v roku 2020 bol 3 745 000 EUR, z ktorých 6 % bolo financovaných z rozpočtu EÚ a 94 % zo SLA. Zúčastnené strany sú však veľmi rôznorodé: niektoré majú vyspelé požiadavky na IT bezpečnosť, zatiaľ čo iné majú skromné rozpočty na IT a veľmi nízku úroveň vyspelosti v oblasti kybernetickej bezpečnosti. Z tohto dôvodu vedú diskusie o SLA ku kombinácii požiadaviek na vysokú bezpečnosť pre niektoré inštitúcie, orgány a agentúry EÚ s relatívnym nedostatkom záujmu alebo schopnosťou prispievať zo strany ostatných.
92 SLA sa navyše musia každoročne individuálne obnoviť. Okrem administratívnej záťaže to predstavuje aj problémy s peňažným tokom, keďže tím CERT‑EU nemá finančné prostriedky, ktoré prichádzajú zo všetkých SLA v rovnaký čas. Agentúry môžu navyše SLA kedykoľvek vypovedať. Tieto riziká spúšťajú začarovaný kruh, keďže v dôsledku straty príjmu musí tím CERT‑EU zredukovať svoje služby a nedokáže držať krok s dopytom, čo zase donúti ostatné inštitúcie, orgány a agentúry EÚ, aby vypovedali SLA a prešli k súkromným poskytovateľom. Vzhľadom na tieto skutočnosti nie je súčasný model financovania ideálny na zaistenie stabilnej a optimálnej úrovne služieb.
93 Vzhľadom na rýchly vývoj situácie v súvislosti s kybernetickými hrozbami (pozri bod 06 a 80), riadiaca rada tímu CERT‑EU na svojom zasadnutí 19. februára 2020 schválila strategický návrh, ktorým sa rozširujú služby tímu v oblasti kybernetickej bezpečnosti a rozvíja „plná prevádzková spôsobilosť“. Návrh dopĺňala analýza potrieb personálneho zabezpečenia a financovania tímu CERT‑EU. Podľa tejto analýzy by tím CERT‑EU potreboval v rokoch 2021 až 2023 postupne rozšíriť počet správcov o 14 ďalších stálych pracovných miest. Od roku 2023 by tak tím CERT‑EU mohol pracovať s plnou kapacitou. Pokiaľ ide o financovanie, podľa tohto návrhu by tím CERT‑EU potreboval v období 2021 – 2023 zvýšiť svoj rozpočet o 7,6 mil. EUR, aby do roku 2024 dosiahol 11,3 mil. EUR.
94 Napriek schváleniu strategického návrhu o poskytnutí dodatočných zdrojov pre tím CERT‑EU, však inštitúcie, orgány a agentúry EÚ zatiaľ nedospeli k dohode o praktických podmienkach, najprv na prechodné obdobie 2021 – 2023 a potom dlhodobo po nadobudnutí účinnosti budúceho nariadenia o kybernetickej bezpečnosti (pozri bod 12).
Závery a odporúčania
95 Dospeli sme k záveru, že komunita inštitúcií, orgánov a agentúr EÚ nedosiahla úroveň kybernetickej pripravenosti zodpovedajúcej hrozbám. Z našej práce vyplynulo, že inštitúcie, orgány a agentúry EÚ majú rozdielnu úroveň vyspelosti kybernetickej bezpečnosti, a keďže sú často prepojené navzájom a aj s verejnými a súkromnými organizáciami v členských štátoch, slabé miesta v jednom subjekte môžu vystaviť kybernetickým hrozbám aj niekoľko ďalších organizácií.
96 Zistili sme, že kľúčové postupy v oblasti kybernetickej bezpečnosti, ktoré sa osvedčili, vrátane niektorých základných kontrol, neboli zavedené všade. Spoľahlivá správa kybernetickej bezpečnosti je nevyhnutná na zaistenie informačnej bezpečnosti i bezpečnosti IT systémov, no v niektorých inštitúciách, orgánoch a agentúrach EÚ stále nie je zavedená: stratégie a plány v oblasti bezpečnosti informačných technológií v mnohých prípadoch chýbajú alebo ich nepodporuje vrcholový manažment, politiky v oblasti bezpečnosti nemajú vždy formálnu podobu a hodnotenia rizík sa nevzťahujú na celé IT prostredie. Výdavky na kybernetickú bezpečnosť sú nerovnomerné a niektoré inštitúcie, orgány a agentúry EÚ v porovnaní s partnermi podobnej veľkosti na ňu vynakladajú zjavne nižšie sumy (pozri body 21 – 33 a 37 – 38).
97 Kľúčovým prvkom účinného rámca kybernetickej bezpečnosti sú programy na zvyšovanie informovanosti o kybernetickej bezpečnosti a odborná príprava. No len 29 % inštitúcií, orgánov a agentúr EÚ ponúka povinné školenie v oblasti kybernetickej bezpečnosti pre manažérov, ktorí sú zodpovední za IT systémy obsahujúce citlivé informácie, a tieto školenia sú často neformálne. Za posledných päť rokov zorganizovalo jednu alebo viac kampaní simulovaného phishingu (alebo podobných testov) 55 % inštitúcií, orgánov a agentúr EÚ. Tieto cvičenia sú dôležitým nástrojom na vzdelávanie zamestnancov a zvyšovanie informovanosti, no inštitúcie, orgány a agentúry EÚ ich nevyužívajú systematicky (pozri body 34 – 36). Navyše nie všetky inštitúcie, orgány a agentúry EÚ pravidelne podrobujú svoju kybernetickú bezpečnosť nezávislému overeniu (pozri body 39 – 44).
98 Inštitúcie, orgány a agentúry EÚ, ktoré využívajú služby tímu CERT‑EU, si ho vysoko cenia, jeho kapacity sú však už preťažené. Jeho pracovná záťaž, pokiaľ ide o získavanie spravodajských informácií o hrozbách a riešenie incidentov, od roku 2018 prudko rastie. Počet závažných incidentov v oblasti kybernetickej bezpečnosti sa zvýšil viac než desaťnásobne. Inštitúcie, orgány a agentúry EÚ zároveň neoznamujú vždy včas informácie o závažných incidentoch, zraniteľných miestach a dôležitých zmenách vo svojej IT infraštruktúre. To obmedzuje účinnosť tímu CERT‑EU, pretože tak nie schopný varovať ostatné inštitúcie, orgány a agentúry EÚ, na ktoré môžu mať incidenty vplyv, a môže tiež dôjsť aj k tomu, že vážne incidenty nebudú odhalené. Financovanie tímu CERT‑EU navyše nie je stabilné a v súčasnosti nezodpovedá aktuálnej úrovni hrozieb ani potrebám inštitúcií, orgánov a agentúr EÚ. Riadiaca rada tímu CERT‑EU schválila v roku 2020 strategický návrh na poskytnutie dodatočných zdrojov, ktoré tím potrebuje, zúčastnené strany však zatiaľ nedospeli k dohode o praktickom postupe, ako tieto zdroje poskytnúť. Zamestnanci tímu CERT‑EU preto nedokážu držať krok s dopytom a svoje činnosti musia obmedzovať (pozri body 74 – 93).
Odporúčanie 1 – Zlepšiť kybernetickú pripravenosť inštitúcií, orgánov a agentúr EÚ prostredníctvom spoločných záväzných pravidiel a väčšieho množstva zdrojov pre CERT‑EU
Komisia by mala do svojho pripravovaného návrhu nariadenia o opatreniach na zaistenie vysokej spoločnej úrovne kybernetickej bezpečnosti vo všetkých inštitúciách, orgánoch a agentúrach EÚ zahrnúť tieto zásady:
- Vyššie vedenie by malo niesť zodpovednosť za správu kybernetickej bezpečnosti tým, že schváli stratégiu kybernetickej bezpečnosti a hlavné bezpečnostné zásady a vymenuje hlavného úradníka pre informačnú bezpečnosť (alebo zriadi rovnocennú funkciu).
- Inštitúcie, orgány a agentúry EÚ by mali mať rámec riadenia rizík v oblasti IT bezpečnosti, ktorý sa vzťahuje na ich celú IT infraštruktúru, a vykonávať pravidelné hodnotenia rizík.
- Inštitúcie, orgány a agentúry EÚ by mali poskytovať systematické školenia na zvyšovanie informovanosti všetkých zamestnancov vrátane vedenia.
- Inštitúcie, orgány a agentúry EÚ by mali zaistiť pravidelné audity a testy svojej kybernetickej obranyschopnosti. Audity by sa mali týkať aj primeranosti zdrojov určených na kybernetickú bezpečnosť.
- Inštitúcie, orgány a agentúry EÚ by mali tím CERT‑EU bezodkladne informovať o závažných incidentoch v oblasti kybernetickej bezpečnosti a príslušných zmenách a zraniteľných miestach vo svojich IT infraštruktúrach.
- Inštitúcie, orgány a agentúry EÚ by mali zvýšiť a vyčleniť vo svojich rozpočtoch zdroje pre tím CERT‑EU v súlade s jeho potrebami vymedzenými v strategickom návrhu schválenom jeho riadiacou radou.
- Nariadenie by malo obsahovať ustanovenia o vymenovaní subjektu, ktorý bude zastupovať všetky inštitúcie, orgány a agentúry EÚ a bude mať primeraný mandát a prostriedky na monitorovanie dodržiavania spoločných pravidiel kybernetickej bezpečnosti vo všetkých inštitúciách, orgánoch a agentúrach EÚ a vydávať usmernenia, odporúčania a výzvy na prijatie opatrení.
Cieľový dátum vykonania: 1. štvrťrok 2023
99 Inštitúcie, orgány a agentúry EÚ vytvorili mechanizmy spolupráce v oblasti kybernetickej bezpečnosti, skonštatovali sme však, že potenciálne synergie nie sú využité v plnej miere. Existuje formalizovaná štruktúra na výmenu informácií, v ktorej sa úlohy aktérov a výborov navzájom dopĺňajú. Obmedzené zdroje však menším inštitúciám, orgánom a agentúram EÚ nedovoľujú zapojiť sa do medziinštitucionálnych fór a zastúpenie decentralizovaných agentúr a spoločných podnikov v riadiacej rade tímu CERT‑EU nie je optimálne. Zistili sme tiež, že inštitúcie, orgány a agentúry EÚ sa navzájom systematicky neinformujú o projektoch súvisiacich s kybernetickou bezpečnosťou, o posúdeniach bezpečnosti a zákazkách na poskytnutie služieb. To môže viesť k duplikácii úsilia a vyšším nákladom. Zaznamenali sme operačné problémy pri výmene citlivých neutajovaných informácií prostredníctvom šifrovaného e-mailu alebo pri videokonferenciách z dôvodu nedostatočnej interoperability IT riešení, nejednotných usmernení o ich povolenom použití a chýbajúcich spoločných pravidiel označovania a spracúvania informácií (pozri body 45 – 63).
Odporúčanie 2 – Podporovať vo vybraných oblastiach ďalšie synergie medzi inštitúciami, orgánmi a agentúrami EÚ
Komisia by v kontexte medziinštitucionálneho výboru pre digitálnu transformáciu mala medzi inštitúciami, orgánmi a agentúrami EÚ presadzovať tieto opatrenia:
- schváliť riešenia zaisťujúce interoperabilitu bezpečných komunikačných kanálov, od šifrovaných e-mailov po videokonferencie, a presadzovať zavedenie spoločného označovania citlivých informácií, ktoré nepodliehajú utajeniu, a spoločných pravidiel ich spracúvania;
- systematicky informovať o projektoch v oblasti kybernetickej bezpečnosti s potenciálnym vplyvom na ostatné inštitúcie, posúdeniach bezpečnosti softvéru a platných zmluvách s externými dodávateľmi;
- stanoviť špecifikácie pre spoločné obstarávanie a rámcové zmluvy o poskytovaní služieb v oblasti kybernetickej bezpečnosti, ku ktorým sa môžu pripojiť všetky inštitúcie, orgány a agentúry EÚ, aby sa dosiahli úspory z rozsahu.
Cieľový dátum vykonania: 4. štvrťrok 2023
100 Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) a tím CERT‑EU sú dva hlavné subjekty, ktoré majú za úlohu poskytovať inštitúciám, orgánom a agentúram EÚ podporu v oblasti kybernetickej bezpečnosti. No vzhľadom na obmedzené zdroje a skutočnosť, že sa prioritne riešia iné oblasti, nedokážu inštitúciám, orgánom a agentúram EÚ poskytnúť všetku potrebnú podporu, a to najmä pokiaľ ide o budovanie kapacít v tých inštitúciách, orgánoch a agentúrach EÚ, ktoré sú v oblasti kybernetickej bezpečnosti menej vyspelé (pozri body 64 – 93).
Odporúčanie 3 – Zvýšiť zameranie tímu CERT‑EU a agentúry ENISA na menej vyspelé inštitúcie, orgány a agentúry EÚ
Tím CERT‑EU a agentúra ENISA by mali:
- určiť prioritné oblasti, v ktorých inštitúcie, orgány a agentúry EÚ potrebujú najväčšiu podporu, napríklad prostredníctvom posúdení vyspelosti;
- vykonávať opatrenia zamerané na budovanie kapacít v súlade s príslušným memorandom o porozumení.
Cieľový dátum vykonania: 4. štvrťrok 2022
Túto správu prijala komora III, ktorej predsedá Bettina Jakobsen, členka Dvora audítorov, v Luxemburgu dňa 22. februára 2022.
Za Dvor audítorov
Klaus-Heiner Lehne
predseda
Prílohy
Príloha I – Zoznam inštitúcií, orgánov a agentúr EÚ zaradených do prieskumu
Názov inštitúcie, orgánu alebo agentúry EÚ | Typ |
---|---|
Európsky parlament (EP) | Inštitúcia (čl. 13 ods. 1 ZEÚ) |
Rada Európskej únie a Európska rada (GSR) | Inštitúcia (čl. 13 ods. 1 ZEÚ) |
Európska komisia (EK) | Inštitúcia (čl. 13 ods. 1 ZEÚ) |
Súdny dvor Európskej únie (SDEÚ) | Inštitúcia (čl. 13 ods. 1 ZEÚ) |
Európska centrálna banka (ECB) | Inštitúcia (čl. 13 ods. 1 ZEÚ) |
Európsky dvor audítorov (EDA) | Inštitúcia (čl. 13 ods. 1 ZEÚ) |
Európska služba pre vonkajšiu činnosť (ESVČ) | Orgán (čl. 27 ods. 3 ZEÚ) |
Európsky hospodársky a sociálny výbor (EHSV) a Európsky výbor regiónov (VR)[37] | Orgány (čl. 13 ods. 4 ZEÚ) |
Európska investičná banka (EIB) | Orgán (čl. 308 ZEÚ) |
Európsky orgán práce (ELA) | Decentralizovaná agentúra |
Agentúra Európskej únie pre spoluprácu regulačných orgánov v oblasti energetiky (ACER) | Decentralizovaná agentúra |
Úrad Orgánu európskych regulátorov pre elektronické komunikácie (úrad BEREC) | Decentralizovaná agentúra |
Úrad Spoločenstva pre odrody rastlín (CPVO) | Decentralizovaná agentúra |
Európska agentúra pre bezpečnosť a ochranu zdravia pri práci (EU-OSHA) | Decentralizovaná agentúra |
Európska agentúra pre pohraničnú a pobrežnú stráž (Frontex/EBCGA) | Decentralizovaná agentúra |
Agentúra Európskej únie na prevádzkové riadenie rozsiahlych informačných systémov v priestore slobody, bezpečnosti a spravodlivosti (eu-LISA) | Decentralizovaná agentúra |
Agentúra Európskej únie pre azyl (EUAA) | Decentralizovaná agentúra |
Agentúra Európskej únie pre bezpečnosť letectva (EASA) | Decentralizovaná agentúra |
Európsky orgán pre bankovníctvo (EBA) | Decentralizovaná agentúra |
Európske centrum pre prevenciu a kontrolu chorôb (ECDC) | Decentralizovaná agentúra |
Európske stredisko pre rozvoj odborného vzdelávania (Cedefop) | Decentralizovaná agentúra |
Európska chemická agentúra (ECHA) | Decentralizovaná agentúra |
Európska environmentálna agentúra (EEA) | Decentralizovaná agentúra |
Európska agentúra pre kontrolu rybárstva (EFCA) | Decentralizovaná agentúra |
Európsky úrad pre bezpečnosť potravín (EFSA) | Decentralizovaná agentúra |
Európska nadácia pre zlepšovanie životných a pracovných podmienok (Eurofound) | Decentralizovaná agentúra |
Agentúra Európskej únie pre vesmírny program [nahrádza Agentúru pre európsky GNSS – GSA] (EUSPA) | Decentralizovaná agentúra |
Európsky inštitút pre rodovú rovnosť (EIGE) | Decentralizovaná agentúra |
Európsky orgán pre poisťovníctvo a dôchodkové poistenie zamestnancov (EIOPA) | Decentralizovaná agentúra |
Európska námorná bezpečnostná agentúra (EMSA) | Decentralizovaná agentúra |
Európska agentúra pre lieky (EMA) | Decentralizovaná agentúra |
Európske monitorovacie centrum pre drogy a drogovú závislosť (EMCDDA) | Decentralizovaná agentúra |
Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) | Decentralizovaná agentúra |
Agentúra Európskej únie pre odbornú prípravu v oblasti presadzovania práva (CEPOL) | Decentralizovaná agentúra |
Európsky policajný úrad (Europol) | Decentralizovaná agentúra |
Železničná agentúra Európskej únie (ERA) | Decentralizovaná agentúra |
Európsky orgán pre cenné papiere a trhy (ESMA) | Decentralizovaná agentúra |
Európska nadácia pre odborné vzdelávanie (ETF) | Decentralizovaná agentúra |
Agentúra Európskej únie pre základné práva (FRA) | Decentralizovaná agentúra |
Úrad Európskej únie pre duševné vlastníctvo [do 23. marca 2016 známy ako OHIM] (EUIPO) | Decentralizovaná agentúra |
Jednotná rada pre riešenie krízových situácií (SRB) | Decentralizovaná agentúra |
Agentúra Európskej únie pre justičnú spoluprácu v trestných veciach (Eurojust) | Decentralizovaná agentúra |
Prekladateľské stredisko pre orgány Európskej únie (CdT) | Decentralizovaná agentúra |
Európska prokuratúra (EPPO) | Decentralizovaná agentúra |
Európsky inovačný a technologický inštitút (EIT) | Subjekt v oblasti výskumu a inovácií |
Spoločný podnik pre výskum manažmentu letovej prevádzky jednotného európskeho neba (SESAR) | Spoločný podnik podľa ZFEÚ |
Spoločný podnik Elektronické komponenty a systémy pre vedúce postavenie Európy (ECSEL) | Spoločný podnik podľa ZFEÚ |
Spoločný podnik pre palivové články a vodík 2 (FCH2) | Spoločný podnik podľa ZFEÚ |
Spoločný podnik pre iniciatívu pre inovačné lieky 2 (IIL2) | Spoločný podnik podľa ZFEÚ |
Spoločný podnik Čisté nebo 2 (Clean Sky 2) | Spoločný podnik podľa ZFEÚ |
Spoločný podnik pre priemyselné odvetvia využívajúce biologické materiály (BBI) | Spoločný podnik podľa ZFEÚ |
Spoločný podnik Shift2Rail (S2R) | Spoločný podnik podľa ZFEÚ |
Spoločný podnik pre európsku vysokovýkonnú výpočtovú techniku (EuroHPC) | Spoločný podnik podľa ZFEÚ |
Európsky spoločný podnik pre ITER – Fusion for Energy (F4E) | Spoločný podnik podľa ZFEÚ |
Poradná misia Európskej únie na Ukrajine (EUAM Ukraine) | Civilná misia (SBOP) |
Poradná hraničná misia EÚ v Líbyi (EUBAM Libya) | Civilná misia (SBOP) |
Misia EÚ na budovanie kapacít v Nigeri (EUCAP Sahel Niger) | Civilná misia (SBOP) |
Pozorovateľská misia EÚ v Gruzínsku (EUMM Georgia) | Civilná misia (SBOP) |
Koordinačný úrad EÚ na podporu palestínskej polície (EUPOL COPPS) | Civilná misia (SBOP) |
Poradná misia EÚ v Stredoafrickej republike (EUAM Central-African Republic) | Civilná misia (SBOP) |
Poradná misia EÚ v Iraku (EUAM Iraq) | Civilná misia (SBOP) |
Pomocná hraničná misia EÚ na hraničnom priechode v Rafahu (EUBAM Rafah) | Civilná misia (SBOP) |
Misia EÚ na budovanie kapacít v Mali (EUCAP Sahel Mali) | Civilná misia (SBOP) |
Misia EÚ na budovanie kapacít v Somálsku (EUCAP Sahel Somalia) | Civilná misia (SBOP) |
Misia EÚ na podporu právneho štátu v Kosove (EULEX Kosovo) | Civilná misia (SBOP) |
Príloha II – Dodatočné informácie o hlavných medziinštitucionálnych výboroch
Medziinštitucionálny výbor pre digitálnu transformáciu (ICDT)
Výbor ICDT je fórum na výmenu informácií a posilnenie spolupráce v oblasti informačných technológií. Bol založený v máji 2020 a nahradil bývalý výbor Comité Interinstitutionnel de l'Informatique (CII). Výbor ICDT pozostáva z manažérov IT oddelení v inštitúciách, orgánoch a agentúrach EÚ. Výbor ICDT má podskupinu pre kybernetickú bezpečnosť (ICDT CSSG), ktorej úloha je podporovať spoluprácu medzi inštitúciami, orgánmi a agentúrami EÚ v oblasti kybernetickej bezpečnosti, a slúži ako fórum na výmenu informácií.
Rozhodovacia právomoc výboru ICDT je obmedzená na záležitosti, ktoré nemajú vplyv na „spôsob, akým inštitúcie plnia svoje úlohy“ a „nezasahujú do riadenia v rámci každej inštitúcie“. V prípade rozhodnutí mimo jeho právomoci môže výbor ICDT poskytnúť odporúčania kolégiu generálnych sekretariátov inštitúcií a orgánov EÚ.
V súlade s mandátom výboru ICDT sú jeho členovia zástupcami každej inštitúcie a orgánu EÚ a jeden člen je menovaný agentúrami EÚ (ICTAC). Generálnemu sekretariátu Rady v súčasnosti predsedá výbor ICDT.
Podskupina ICDT pre kybernetickú bezpečnosť výboru (ICDT CSSG)
Podskupina ICDT CSSG vo svojej súčasnej podobe bola zriadená v septembri 2020 a nahradila bývalú stálu bezpečnostnú podskupinu CII. V porovnaní so svojím predchodcom je podskupina ICDT CSSG viac štruktúrovaná, ambicióznejšia orientovaná na výsledky. Jej činnosti vykonávajú pracovné skupiny (PS), ktoré sa pravidelne stretávajú a zameriavajú na spoločné kľúčové záležitosti:
- PS1 „Spoločné normy, benchmarking a vyspelosť“
- PS2 „Platforma na výmenu metód, nástrojov a zmlúv“
- PS3 „Bezpečnosť cloudu“
- PS4 „Rozvoj kybernetických zručností“
- PS5 „Povedomie o kybernetickej bezpečnosti“
- PS6 „Bezpečnosť videokonferencií“
V súlade s mandátom CSSG je jej sekretariát zodpovedný za pravidelné monitorovanie a podávanie správ o pokroku dosiahnutom v činnostiach pracovných skupín. Pravidelne podáva správy predsedovi a podpredsedovi podskupine pre kybernetickú bezpečnosť výboru ICDT, pričom pravidelne zhromažďuje vstupy od koordinátorov pracovných skupín. Na konci každého roku musí CSSG predložiť súhrnnú správu o činnosti.
V Komisii v súčasnosti predsedá podskupina ICDT CSSG so zástupcom výboru ICTAC ako podpredsedom. Hoci podskupina CSSG nemá rozhodovaciu právomoc, môže odporúčať rozhodnutia výboru ICDT o relevantných záležitostiach.
Sieť agentúr
Sieť agentúr EÚ (EUAN) je neformálna sieť zriadená riaditeľmi agentúr v roku 2012. Sieť EUAN v súčasnosti zahŕňa 48 decentralizovaných agentúr EÚ a spoločných podnikov. Jej cieľom je poskytnúť platformu pre výmenu a spoluprácu pre členov siete v oblastiach spoločného záujmu. Poradný výbor pre IKT (ICTAC) je podskupina siete EUAN zodpovedná za podporu spolupráce v oblasti IKT vrátane kybernetickej bezpečnosti.
Poradný výbor pre informačné a komunikačné technológie (ICTAC)
Výbor ICTAC podporuje spoluprácu medzi agentúrami a spoločnými podnikmi v oblasti IKT. Jeho cieľom je nájsť realizovateľné a hospodárne riešenia spoločných problémov, vymieňať informácie a v prípade potreby prijať spoločné stanoviská. Podľa podmienok výboru ICTAC sa valné zhromaždenia, na ktorých sa zúčastňujú všetci jeho členovia, konajú dvakrát za rok. Pravidelne každý mesiac sa konajú aj zasadnutia zástupcov výboru ICTAC za pracovné skupiny CSSG, zástupca výboru ICTAC za CSSG a „Trojka“ výboru ICTAC. Trojka pozostáva zo súčasného, predchádzajúceho a budúceho predsedu výboru ICTAC (každý predseda je vo funkcii jeden rok). Úlohou Trojky je podporovať súčasného predsedu vo všetkých záležitostiach, ktoré sa týkajú jeho funkcie, vrátane jeho zastúpenia, ak si to okolnosti vyžadujú.
Akronymy a skratky
APT: pokročilá pretrvávajúca hrozba (Advanced Persistent Threat)
CERT‑EU: tím reakcie na núdzové počítačové situácie v inštitúciách, orgánoch a agentúrach EÚ (Computer Emergency Response Team of the EUIBAs)
CIS: komunikačné a informačné systémy (Communication and Information Systems)
CISO: hlavný úradník pre informačnú bezpečnosť (Chief Information Security Officer)
CSA: akt o kybernetickej bezpečnosti (Cybersecurity Act)
CSIRT: jednotka pre riešenie počítačových bezpečnostných incidentov (Computer Security Incident Response Team)
ENISA: Agentúra Európskej únie pre kybernetickú bezpečnosť (European Union Agency for Cybersecurity)
EUAN: sieť agentúr Európskej únie (European Union Agencies Network)
EUIBAs: inštitúcie, orgány a agentúry EÚ (European Union Institutions, Bodies and Agencies)
EU-LISA: Agentúra Európskej únie na prevádzkové riadenie rozsiahlych informačných systémov v priestore slobody, bezpečnosti a spravodlivosti (European Agency for the operational management of large-scale IT systems in the area of freedom, security and justice)
FTE: ekvivalent plného pracovného času (Full Time Equivalent)
GR DIGIT: Generálne riaditeľstvo pre informatiku
GR HR: Generálne riaditeľstvo pre ľudské zdroje a bezpečnosť
ICDT CSSG: podskupina pre kybernetickú bezpečnosť v rámci medziinštitucionálneho výboru pre digitálnu transformáciu (Interinstitutional Committee for Digital Transformation Cyber Security Sub-Group)
ICDT: medziinštitucionálny výbor pre digitálnu transformáciu (Interinstitutional Committee for Digital Transformation)
ICTAC: poradný výbor pre informačné a komunikačné technológie (Information and Communications Technology Advisory Committee)
IIA: medziinštitucionálna dohoda (Interinstitutional Agreement)
IKT: informačné a komunikačné technológie
ISACA: Asociácia auditu a kontroly informačných systémov (Information Systems Audit and Control Association)
ITCB: Rada pre informačné technológie a kybernetickú bezpečnosť (Information Technology and Cybersecurity Board)
MoP: memorandum o porozumení
NIS: sieťová a informačná bezpečnosť (Network and Information Security)
SLA: dohoda o úrovni poskytovaných služieb (Service Level Agreement)
Glosár
Kybernetická bezpečnosť: opatrenia na ochranu IT sietí a infraštruktúry, ako aj informácií, ktoré obsahujú, pred vonkajšou hrozbou.
Kybernetická špionáž: jednorazové alebo opakované kroky na získanie tajných údajov a informácií z internetu, zo sietí alebo z individuálnych počítačov bez povolenia a vedomia držiteľa informácií.
Kybernetický priestor: globálny online priestor, v ktorom ľudia, softvér a služby komunikujú prostredníctvom sietí počítačov a iných pripojených zariadení.
Penetračné testovanie: metóda na posúdenie bezpečnosti IT systému spočívajúca v pokuse o narušenie jeho bezpečnostných prvkov pomocou nástrojov a postupov, ktoré obvykle používajú protivníci.
Phishing: zasielanie e-mailov, ktoré navodzujú dojem, že pochádzajú z dôveryhodného zdroja, s cieľom podvodom presvedčiť príjemcu, aby otvoril škodlivé odkazy alebo poskytol osobné údaje.
Pokročilá pretrvávajúca hrozba: útok, pri ktorom neoprávnený používateľ vstúpi do systému alebo siete s cieľom odcudziť citlivé údaje a zostane tam dlhšiu dobu.
Simulovanie útoku červeného tímu: realistická simulácia kybernetických útokov zahŕňajúca prvok prekvapenia a postupy nedávno pozorované v reálnom svete, zameraná na konkrétne ciele a realizovaná z rôznych smerov útoku.
Sociálne inžinierstvo: voblasti informačnej bezpečnosti ide o psychologickú manipuláciu s cieľom podvodom presvedčiť ľudí, aby niečo urobili alebo poskytli dôverné informácie.
Tím reakcie na núdzové počítačové situácie v európskych inštitúciách, orgánoch a agentúrach EÚ: centrum pre výmenu informácií a koordináciu reakcií na incidenty, ktorého klientmi („zúčastnenými stranami“) sú inštitúcie, orgány a agentúry EÚ.
Odpovede Komisie
Odpovede CERT‑EU a ENISA
Koncové poznámky
[3] EDA preskúmanie 02/2019: Prekážky účinnej politiky EÚ v oblasti kybernetickej bezpečnosti (informačný dokument).
[4] CERT-EU: Threat Landscape Report, jún 2021.
[5] Tamže.
[6] Tamže.
[7] Tamže.
[8] Kybernetický útok na agentúru EMA – aktualizácia 6, 25.1.2021.
[9] EDA, osobitná správa 22/2020: Budúcnosť agentúr EÚ – Potenciál na väčšiu flexibilitu a spoluprácu, bod 01.
[10] Ú. v. EÚ C 12, 13.1.2018, s. 1.
[11] ENISA, Threat Landscape 2020, odvetvová/tematická analýza hrozieb.
[12] Smernica (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii.
[13] Návrh smernice o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii.
[16] ISACA, Certified Information System Auditor review manual, 2019.
[17] Oznámenie Komisii, Digitálna stratégia Európskej komisie: Digitálne transformovaná Komisia zameraná na používateľov a založená na údajoch, C(2018) 7118 final, 21.11.2018.
[18] Norma ISO/IEC 27000:2018, kapitola 5.
[19] COBIT 5 for Information Security, časť 4.2.
[20] Pozri napríklad ISO/IEC 27000:2018, oddiel 4.5.
[21] ENISA, Thread Landscape 2020, odvetvová/tematická analýza hrozieb.
[22] Súbor kontrol odvodený z rámca osvedčených postupov CIS Controls 7.1 spravovaného Centrom pre bezpečnosť internetu.
[23] Realizačná skupina 1 (RS1) kontrol CIS.
[24] ISACA, Auditing Cyber Security: Evaluating Risk and Auditing Controls, 2017.
[25] Rozhodnutie Komisie (EÚ, Euratom) 2017/46 o bezpečnosti komunikačných a informačných systémov v Európskej komisii.
[26] Článok 7 medziinštitucionálnej dohody (IIA) podpísanej 20.12.2017.
[27] Európska komisia, The European Commission Cloud Strategy, 2019.
[28] Úlohy agentúry ENISA sú uvedené v kapitole II (články 5 – 12) nariadenia (EÚ) 2019/881.
[29] Nariadenie Európskeho parlamentu a Rady (EÚ) č. 526/2013; úlohy agentúry ENISA sú uvedené v článku 3 tohto nariadenia.
[30] Článok 6 nariadenia (EÚ) 2019/881.
[31] Článok 14 aktu o kybernetickej bezpečnosti.
[32] Článok 18 aktu o kybernetickej bezpečnosti.
[33] Tlačová správa Európskej komisie: Úspešný pilotný projekt posilnil kybernetickú bezpečnosť v inštitúciách EÚ.
[34] Článok 3.3 medziinštitucionálnej dohody (IIA) podpísanej 20.12.2017.
[35] Článok 3.2 medziinštitucionálnej dohody (IIA).
[36] Odôvodnenie 7 medziinštitucionálnej dohody (IIA).
[37] EHSV a VR sa považujú za jeden orgán.
Kontakt
EURÓPSKY DVOR AUDÍTOROV
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBOURG
Tel. +352 4398-1
Otázky: eca.europa.eu/sk/Pages/ContactForm.aspx
Webová stránka: eca.europa.eu
Twitter: @EUAuditors
Viac doplňujúcich informácií o Európskej únii je k dispozícii na internete. Sú dostupné cez server Európa (https://europa.eu).
Luxemburg: Úrad pre vydávanie publikácií Európskej únie, 2022.
ISBN 978-92-847-7599-6 | ISSN 1977-5776 | doi:10.2865/399055 | QJ-AB-22-003-SK-N | |
HTML | ISBN 978-92-847-7582-8 | ISSN 1977-5776 | doi:10.2865/095027 | QJ-AB-22-003-SK-Q |
AUTORSKÉ PRÁVA
© Európska únia, 2022
Politika týkajúca sa opakovaného použitia materiálov Európskeho dvora audítorov (EDA) je stanovená v rozhodnutí EDA č. 6/2019 o politike otvoreného prístupu a opakovanom použití dokumentov.
Pokiaľ sa nestanovuje inak (napr. v osobitnom upozornení o autorských právach), obsah materiálov EDA vo vlastníctve EÚ podlieha licencii Creative Commons Attribution 4.0 International (CC BY 4.0). Vo všeobecnosti je preto opakované použitie povolené pod podmienkou, že sa náležite uvedie zdroj a označia prípadné zmeny. Tí, ktorí opakovane používajú obsah EDA, nesmú skresliť pôvodný význam alebo odkaz. EDA nenesie zodpovednosť za žiadne dôsledky opakovaného použitia.
V prípade, že konkrétny materiál zobrazuje alebo opisuje identifikovateľné súkromné osoby, napr. fotografie zamestnancov EDA, alebo ak obsahuje prácu tretej strany, je potrebné získať dodatočné povolenie.
Ak je tento súhlas udelený, ruší a nahrádza sa ním uvedené všeobecné povolenie a jasne sa vymedzí každé prípadné obmedzenie týkajúce sa použitia.
V prípade použitia či šírenia obsahu materiálov, ktoré EÚ nevlastní, je potrebné žiadať povolenie priamo od držiteľov autorských práv.
Politika EDA týkajúca sa opakovaného použitia materiálov sa nevzťahuje na softvér ani dokumenty, ktoré podliehajú právam priemyselného vlastníctva, ako sú patenty, ochranné známky, zapísané dizajny, logá a názvy.
Na súbore webových sídiel inštitúcií Európskej únie v rámci domény europa.eu sa uvádzajú odkazy na sídla tretích strán. Keďže sú mimo kontroly EDA, odporúčame Vám oboznámiť sa s ich politikami ochrany osobných údajov a autorských práv.
Použitie loga EDA
Logo EDA sa nesmie použiť bez predchádzajúceho súhlasu Európskeho dvora audítorov.
Obráťte sa na EÚ
Osobne
V rámci celej EÚ existujú stovky informačných centier Europe Direct. Adresu centra najbližšieho k vám nájdete na tejto webovej stránke: https://europa.eu/european-union/contact_sk.
Telefonicky alebo e-mailom
Europe Direct je služba, ktorá odpovedá na vaše otázky o Európskej únii. Túto službu môžete kontaktovať:
- prostredníctvom bezplatného telefónneho čísla: 00 800 6 7 8 9 10 11 (niektorí operátori môžu tieto hovory spoplatňovať),
- prostredníctvom štandardného telefónneho čísla: +32 22999696, alebo
- e-mailom na tejto webovej stránke: https://europa.eu/european-union/contact_sk.
Vyhľadávanie informácií o EÚ
Online
Informácie o Európskej únii sú dostupné vo všetkých úradných jazykoch Európskej únie na webovej stránke Europa: https://europa.eu/european-union/index_sk.
Publikácie EÚ
Publikácie EÚ, bezplatné alebo platené, si môžete stiahnuť alebo objednať z kníhkupectva na webovej stránke https://op.europa.eu/sk/publications. Ak chcete získať viac než jeden výtlačok bezplatných publikácií, obráťte sa na službu Europe Direct alebo vaše miestne informačné centrum (pozri https://europa.eu/european-union/contact_sk).
Právo EÚ a súvisiace dokumenty
Prístup k právnym informáciám EÚ vrátane všetkých právnych predpisov EÚ od roku 1951 vo všetkých úradných jazykoch nájdete na webovej stránke EUR-Lex: http://eur-lex.europa.eu.
Otvorený prístup k údajom z EÚ
Portál otvorených dát EÚ (http://data.europa.eu/sk.) poskytuje prístup k súborom dát z EÚ. Dáta možno stiahnuť a opätovne použiť bezplatne na komerčné aj nekomerčné účely.