Särskild rapport
05 2022

Cybersäkerheten vid EU:s institutioner, organ och byråer: beredskapen står inte alltid i proportion till hoten

Om rapporten:Antalet cyberattacker mot EU:s institutioner, organ och byråer ökar kraftigt. Eftersom EU:s institutioner, organ och byråer är tätt sammanlänkade kan svagheter hos några av dem innebära säkerhetshot även för andra. Vi undersökte om institutionerna, organen och byråerna har lämpliga arrangemang för att skydda sig själva mot cyberhot. Vi konstaterade att deras beredskap inte alltid står i proportion till hoten och att deras mognadsgrad när det gäller cybersäkerhet varierar stort. Vi rekommenderar kommissionen att förbättra beredskapen hos EU:s institutioner, organ och byråer genom att föreslå att bindande cybersäkerhetsregler införs och att resurserna till incidenthanteringsorganisationen för EU:s institutioner och byråer (CERT-EU) ökar. Kommissionen bör också verka för ytterligare synergieffekter bland EU:s institutioner, organ och byråer, och CERT-EU och Europeiska unionens cybersäkerhetsbyrå (Enisa) bör fokusera sitt stöd på de institutioner, organ och byråer som är mindre mogna.

Revisionsrättens särskilda rapport i enlighet med artikel 287.4 andra stycket i EUF-fördraget.

Denna publikation finns på 24 språk och i följande format:
PDF
PDF Särskild rapport: Cybersäkerheten vid EU:s institutioner, organ och byråer

Sammanfattning

I I EU:s cybersäkerhetsakt definieras cybersäkerhet som ”all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot”. EU:s institutioner, organ och byråer behandlar känslig information och är därför attraktiva mål för potentiella angripare, särskilt grupper som kan genomföra mycket sofistikerade smygattacker för cyberspionage och andra ändamål. Trots att EU:s institutioner, organ och byråer är institutionellt oberoende och administrativt självständiga är de tätt sammanlänkade. Därför kan svagheter hos enskilda institutioner, organ och byråer innebära säkerhetshot även för andra.

II Mot bakgrund av att antalet cyberattacker mot EU:s institutioner, organ och byråer ökar kraftigt, var målet med denna revision att bedöma om EU:s institutioner, organ och byråer som helhet har inrättat lämpliga arrangemang för att skydda sig själva mot cyberhot. Vi drog slutsatsen att de inte har uppnått en cyberberedskap som står i proportion till hoten.

III Vi konstaterade att viktig god praxis när det gäller cybersäkerhet inte alltid genomfördes, däribland vissa viktiga kontroller, och det är tydligt att ett antal av EU:s institutioner, organ och byråer inte avsätter tillräckligt med medel till cybersäkerhet. En del institutioner, organ och byråer har heller inte infört sund cybersäkerhets­förvaltning: it-säkerhetsstrategier saknas i många fall eller stöds inte av den högre ledningen, säkerhetsstrategierna är inte alltid formaliserade och riskbedömningarna omfattar inte hela it-miljön. Alla institutioner, organ och byråer låter inte regelbundet genomföra en oberoende certifiering av cybersäkerheten.

IV Utbildning i cybersäkerhet sker inte alltid systematiskt. Drygt hälften av EU:s institutioner, organ och byråer erbjuder fortlöpande cybersäkerhetsutbildning för it-personal och it-säkerhetsspecialister. Ett fåtal tillhandahåller obligatorisk cybersäkerhetsutbildning för chefer med ansvar för it-system som innehåller känslig information. Nätfiskeövningar är ett viktigt verktyg för att utbilda personal och öka medvetenheten, men det är inte alla institutioner, organ och byråer som använder dem systematiskt.

V EU:s institutioner, organ och byråer har inrättat strukturer för samarbete och informationsutbyte om cybersäkerhet, men vi noterade att potentiella synergieffekter inte utnyttjas fullt ut. EU:s institutioner, organ och byråer delar inte systematiskt information om cybersäkerhetsrelaterade projekt, säkerhetsbedömningar eller tjänsteavtal med varandra. Vidare är grundläggande kommunikationsverktyg såsom krypterade e-postmeddelanden och videokonferenslösningar inte helt interoperabla. Det kan leda till osäkrare informationsutbyte, dubbelarbete och ökade kostnader.

VI Incidenthanteringsorganisationen för EU:s institutioner och byråer (CERT-EU) och Europeiska unionens cybersäkerhetsbyrå (Enisa) är de två huvudsakliga enheter som har i uppdrag att stödja EU:s institutioner, organ och byråer kring cybersäkerhet. På grund av begränsade resurser eller att andra områden har prioriterats har de dock inte kunnat ge EU:s institutioner, organ och byråer allt det stöd de behöver, i synnerhet när det gäller kapacitetsuppbyggnad för mindre mogna institutioner, organ eller byråer. Trots att CERT-EU värderas högt av EU:s institutioner, organ och byråer motverkas organisationens ändamålsenlighet av ökande arbetsbörda, instabil finansiering och bemanning samt otillräckligt samarbete från vissa institutioner, organ och byråer som inte alltid delar aktuell information om sårbarheter eller betydande cybersäkerhets­incidenter som har påverkat dem eller kan påverka andra.

VII Utifrån dessa slutsatser rekommenderar vi att

  • kommissionen förbättrar cybersäkerhetsberedskapen hos EU:s institutioner, organ och byråer genom ett lagstiftningsförslag om att införa gemensamma bindande cybersäkerhetsregler för EU:s samtliga institutioner, organ och byråer och att öka resurserna till CERT-EU,
  • kommissionen, inom ramen för den interinstitutionella kommittén för digital omställning, främjar ytterligare synergieffekter bland EU:s institutioner, organ och byråer på utvalda områden,
  • CERT-EU och Enisa i högre grad fokuserar på de av EU:s institutioner, organ och byråer som är mindre mogna ur ett cybersäkerhetsperspektiv.

Inledning

Vad är cybersäkerhet?

01 I EU:s cybersäkerhetsakt1 definieras cybersäkerhet som ”all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot”. Cybersäkerhet bygger på informationssäkerhet, vilket handlar om att bevara informationens konfidentialitet, integritet och tillgänglighet2, både i fysisk och i elektronisk form. Vidare kallas skyddet av nätverks- och informationssystem där sådan information lagras för informationsteknologisk säkerhet (it-säkerhet) (se figur 1).

Figur 1 – Cybersäkerhet är kopplad till informationssäkerhet och it-säkerhet

Källa: Revisionsrätten.

02 Cybersäkerhet som disciplin inbegriper identifiering, förebyggande, upptäckt och hantering av samt återställning efter cyberincidenter. Incidenter kan omfatta allt från oavsiktligt röjande av information till angrepp som syftar till att kompromettera kritisk infrastruktur samt identitetsstöld och stöld av personuppgifter3.

03 En cybersäkerhetsram omfattar många delar, bland annat krav och tekniska kontroller som rör säkerheten för nätverks- och informationssystem samt lämpliga ledningssystem och program för att öka cybermedvetenheten hos personalen.

Cybersäkerheten vid EU:s institutioner, organ och byråer

04 EU:s institutioner, organ och byråer behandlar känslig information och är därför attraktiva mål för potentiella angripare, särskilt grupper som kan genomföra mycket sofistikerade smygattacker (”avancerade långvariga hot”) för cyberspionage och andra ändamål4. Framgångsrika cyberattacker mot EU:s institutioner, organ och byråer kan få betydande politiska konsekvenser, skada EU:s allmänna rykte och undergräva förtroendet för institutionerna.

05 Covid-19-pandemin tvingade EU:s institutioner, organ och byråer, liksom andra organisationer runt om i världen, att plötsligt påskynda den digitala omställningen och införa distansarbete. Det har avsevärt ökat antalet potentiella åtkomstpunkter för angripare (”attackytan”), i och med att organisationernas perimeter har utvidgats till internetanslutna hem och mobila enheter där nya sårbarheter kan utnyttjas. Tjänster för fjärråtkomst är ett av de vanligaste sätten för grupper som riktar in avancerade långvariga hot mot EU:s institutioner, organ och byråer att först få åtkomst till nätverken5.

06 Antalet cyberincidenter ökar, och en särskilt oroväckande trend är den dramatiska ökningen av betydande incidenter som påverkar EU:s institutioner, organ och byråer6 och som gjorde 2021 till ett rekordår. Betydande incidenter är sådana som varken är återkommande eller okomplicerade. Det rör sig vanligtvis om incidenter där nya metoder och tekniker används, och de kan ta veckor eller till och med månader att utreda och återställa. De betydande incidenterna mer än tiodubblades mellan 2018 och 20217. Minst 22 enskilda institutioner, organ och byråer har drabbats av betydande incidenter bara under de senaste två åren. Ett färskt exempel är cyberattacken mot Europeiska läkemedelsmyndigheten där känsliga uppgifter läcktes och manipulerades på ett sätt som syftade till att undergräva förtroendet för vacciner8.

07 EU:s institutioner, organ och byråer är en mycket heterogen grupp som omfattar institutioner, byråer och ett antal olika organ. De sju EU-institutionerna har inrättats enligt fördragen. EU:s decentraliserade byråer och andra organ inrättas däremot genom sekundärrättsakter och är var och en separata juridiska personer. Det finns olika rättsliga typer av byråer: sex genomförandeorgan för kommissionen och 37 decentraliserade EU-byråer9. EU:s institutioner, organ och byråer omfattar också EU-kontor, en diplomatkår (Europeiska utrikestjänsten), gemensamma företag och andra organ. EU:s institutioner, organ och byråer bär alla ansvaret för att fastställa sina egna cybersäkerhetskrav och vidta egna säkerhetsåtgärder.

08 I syfte att stärka cybersäkerheten vid EU:s institutioner, organ och byråer inrättade kommissionen år 2012 incidenthanteringsorganisationen för EU:s institutioner och byråer (CERT-EU) som en permanent arbetsgrupp. CERT-EU fungerar som samordningscentrum för informationsutbyte och incidenthantering på området för cybersäkerhet och samarbetar med andra enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter) i medlemsstaterna och specialiserade it-säkerhetsföretag. Organiseringen och driften av CERT-EU regleras för närvarande av ett interinstitutionellt avtal10 från 2018 mellan de EU-institutioner, EU-organ och EU-byråer som CERT-EU tillhandahåller tjänster åt. De kallas även ”avtalsparterna”. Det finns för närvarande 87 avtalsparter.

09 En annan viktig aktör som stöder EU:s institutioner, organ och byråer är Europeiska unionens cybersäkerhetsbyrå (Enisa) som arbetar för att uppnå en hög gemensam cybersäkerhetsnivå i hela EU. Enisa inrättades 2004 och har i uppdrag att stärka tillförlitligheten hos produkter, processer och tjänster på området informations- och kommunikationsteknik (IKT) med hjälp av cybersäkerhetscertifiering, samarbeta med EU:s institutioner, organ, byråer och medlemsstater samt hjälpa dem att förbereda sig mot cyberhot. Enisa stöder EU:s institutioner, organ och byråer inom kapacitetsuppbyggnad och operativt samarbete.

10 EU:s institutioner, organ och byråer är institutionellt oberoende men är trots detta tätt sammanlänkade. De utbyter dagligen information och delar ett antal gemensamma system och nätverk. Svagheter hos enskilda institutioner, organ och byråer skulle kunna innebära säkerhetshot för andra, i och med att många cyberattacker sker i mer än ett steg för att syftet eller slutmålet ska uppnås11. En framgångsrik attack mot svagare institutioner, organ och byråer kan användas som språngbräda för att nå andra. EU:s institutioner, organ och byråer är också sammanlänkade med offentliga och privata organisationer i medlemsstaterna, och om de inte har tillräcklig cyberberedskap riskerar de att exponera även dessa organisationer för cyberhot.

11 Det finns för närvarande ingen rättslig ram för informationssäkerhet och cybersäkerhet vid EU:s institutioner, organ och byråer. De omfattas inte av den bredaste EU-lagstiftningen om cybersäkerhet, nätverks- och informationssäkerhets­direktivet12 från 2016, och inte heller av den föreslagna revideringen av detta direktiv13. Det finns inte heller någon heltäckande information om de belopp som EU:s institutioner, organ och byråer avsätter till cybersäkerhet.

12 I juli 2020 offentliggjorde kommissionen ett meddelande om strategin för EU:s säkerhetsunion14 för perioden 2020–2025. De centrala åtgärderna inbegriper ”gemensamma regler om informationssäkerhet och cybersäkerhet för alla EU:s institutioner, organ och byråer”. Denna nya ram är avsedd att stödja ett starkt och effektivt operativt samarbete med fokus på CERT-EU:s roll. I EU:s strategi för cybersäkerhet för ett digitalt decennium15, som offentliggjordes i december 2020, åtog sig kommissionen att föreslå en förordning om gemensamma cybersäkerhetsregler för alla EU:s institutioner, organ och byråer. Kommissionen föreslog även att en ny rättslig grund skulle fastställas för CERT-EU för att stärka dess mandat och finansiering.

Revisionens inriktning och omfattning samt revisionsmetod

13 Mot bakgrund av att antalet cyberattacker ökar kraftigt och att svagheter hos enskilda institutioner, organ och byråer kan innebära säkerhetshot för andra, var målet med denna revision att bedöma om samtliga institutioner, organ och byråer har inrättat lämpliga arrangemang för att skydda sig själva mot cyberhot. För att besvara den övergripande revisionsfrågan formulerade vi följande tre delfrågor:

  1. Har alla EU:s institutioner, organ och byråer antagit en central cybersäkerhetspraxis?
  2. Finns det ett effektivt cybersäkerhetssamarbete mellan EU:s institutioner, organ och byråer?
  3. Tillhandahåller Enisa och CERT-EU lämpligt stöd till EU:s institutioner, organ och byråer på cybersäkerhetsområdet?

14 Tidpunkten för revisionen är anpassad utifrån strategin för EU:s säkerhetsunion. Genom att bedöma de nuvarande cybersäkerhetsarrangemangen vid EU:s institutioner, organ och byråer har vi försökt identifiera områden där det finns utrymme för förbättringar som kommissionen kan ta hänsyn till när den utarbetar lagstiftningsförslaget om gemensamma cybersäkerhetsregler som är bindande för alla EU:s institutioner, organ och byråer.

15 Revisionen omfattade utveckling och initiativ på cybersäkerhetsområdet från januari 2018 (när det interinstitutionella avtalet om CERT-EU fastställdes) till oktober 2021.

16 Vi begränsade revisionens inriktning och omfattning till cyberresiliens och icke säkerhetsskyddsklassificerade system. Vi fokuserade på beredskapsaspekter (verksamheter som motsvarar ”identifiera, skydda och upptäcka”). ”Reagera” och ”återställa” ingick inte. Vi undersökte dock vissa organisatoriska delar av incidenthanteringen. Vidare omfattades inte aspekter rörande dataskydd, brottsbekämpning, cyberförsvar eller cyberdiplomati (se figur 2).

Figur 2 – Revisionens inriktning och omfattning

Källa: Revisionsrätten.

17 Våra revisionsresultat bygger på en grundlig analys av tillgänglig dokumentation som har kompletterats med intervjuer. Vi genomförde en självbedömningsenkät, där 65 institutioner, organ och byråer deltog, för att samla in information om deras cybersäkerhetsarrangemang och syn på interinstitutionellt samarbete. Vi granskade samtliga institutioner, organ och byråer som omfattas av revisionsrättens revisionsbefogenheter och som förvaltar sin egen it-infrastruktur liksom vår egen institution. Detta inbegrep institutioner, decentraliserade byråer, gemensamma företag och organ. Vi granskade även civila uppdrag, vilka är tillfälliga och självständiga enheter som finansieras av EU:s budget och är oberoende ur ett it-perspektiv. I bilaga I finns en fullständig förteckning över de institutioner, organ och byråer som granskades. Europeiska ombudsmannen och Europeiska datatillsynsmannen omfattades inte av revisionen.

18 Enkäten hade en svarsfrekvens på 100 % och fungerade som utgångspunkt för vidare analys. Dessutom gjorde vi ett urval på sju EU-institutioner, EU-organ och EU-byråer som visar hur heterogena de är och följde upp deras svar med intervjuer och förfrågningar om dokumentation. De urvalskriterier vi beaktade inbegrep rättslig grund, storlek (med avseende på personal och budget) och sektor. Urvalet av EU:s institutioner, organ och byråer bestod av Europeiska kommissionen, Europaparlamentet, Europeiska unionens cybersäkerhetsbyrå (Enisa), Europeiska bankmyndigheten (EBA), Europeiska sjösäkerhetsbyrån (Emsa), Europeiska unionens rådgivande uppdrag för reform av den civila säkerhetssektorn i Ukraina (EUAM Ukraina) och det gemensamma företaget för initiativet för innovativa läkemedel (gemensamma företaget IMI).

19 Vi anordnade även videomöten med CERT-EU, byrånätverkets rådgivande kommitté för IKT (ICTAC), den interinstitutionella kommittén för digital omställning (ICDT) och andra relevanta berörda parter.

Iakttagelser

EU:s institutioner, organ och byråer har uppnått mycket olika nivåer av cybersäkerhetmognad och följer inte alltid god praxis

20 I detta avsnitt undersöker vi enskilda arrangemang och cybersäkerhetsramar bland EU:s institutioner, organ och byråer. Vi bedömde om de hanterar cybersäkerhet på ett enhetligt och lämpligt sätt med avseende på förvaltning av it-säkerheten, riskhantering, resurstilldelning, medvetandehöjande utbildning, kontroller och oberoende certifiering.

Förvaltningen av it-säkerheten vid EU:s institutioner, organ och byråer är ofta underutvecklad, och riskbedömningarna är inte heltäckande

Många institutioner, organ och byråer har en bristfällig it-säkerhetsförvaltning

21 God förvaltning spelar en avgörande roll i en ändamålsenlig säkerhetsram för informations- och it-system, eftersom den definierar organisationens mål och ger vägledning genom prioriteringar och beslutsfattande. Enligt ISACA (Information Systems Audit and Control Association)16 bör en ram för it-säkerhetsförvaltning generellt sett innehålla följande delar:

  • En övergripande säkerhetsstrategi som är direkt kopplad till verksamhetens mål.
  • Styrning av säkerhetsstrategier som behandlar varje aspekt av strategin, kontroller och bestämmelser.
  • En fullständig uppsättning standarder för varje policy som beskriver de operativa steg som krävs för att följa policyn.
  • Institutionaliserade övervakningsprocesser för att säkerställa efterlevnad och ge återkoppling om ändamålsenlighet.
  • En ändamålsenlig organisationsstruktur utan några intressekonflikter.

22 Vi konstaterade brister i förvaltningen av it-säkerheten vid många av EU:s institutioner, organ och byråer. Enbart 58 % av EU:s institutioner, organ och byråer (38 av 65) har en it-säkerhetsstrategi eller åtminstone en it-säkerhetsplan som godkänts på styrelsenivå eller högre ledningsnivå. En uppdelning per typ av institution, organ och byrå visar att andelen i denna kategori är lägst för civila uppdrag och decentraliserade byråer (som tillsammans står för 71 % av de institutioner, organ och byråer som granskats) (se tabell 1). Att inte ha en it-säkerhetsstrategi eller it-säkerhetsplan som godkänts på högre ledningsnivå innebär en risk för att den högsta ledningen inte är medveten om eller i tillräcklig grad prioriterar it-säkerhetsfrågor.

Tabell 1 – Procentandel av EU:s institutioner, organ och byråer som har en it-säkerhetsstrategi eller it-säkerhetsplan som godkänts av den högre ledningen

Uppdelning per antal anställda

<100 anställda
(22 institutioner, organ och byråer)
100–249 anställda
(17 institutioner, organ och byråer)
250–1 000 anställda
(16 institutioner, organ och byråer)
>1 000 anställda
(10 institutioner, organ och byråer)
45 % 53 % 69 % 80 %

Uppdelning per typ av organisation

Decentraliserade byråer
(35 institutioner, organ och byråer)
Civila uppdrag
(11 institutioner, organ och byråer)
Organ
(4 institutioner, organ och byråer)
Institutioner
(6 institutioner, organ och byråer)
Gemensamma företag
(9 institutioner, organ och byråer)
45 % 56 % 75 % 83 % 89 %

Källa: Revisionsrättens enkätundersökning.

23 Vi granskade de it-säkerhetsstrategier och it-säkerhetsplaner som tillhandahölls av de sju institutioner, organ och byråer som ingick i urvalet (se punkt 18). Vi konstaterade att deras strategier var någorlunda väl kopplade till deras verksamhetsmål. Kommissionens it-säkerhetsstrategi omfattar exempelvis it-säkerhetsdimensionen av Europeiska kommissionens digitala strategi17 och är utformad för att stödja färdplanen och målen. Det var dock bara tre av institutionerna, organen och byråerna i urvalet som hade inbegripit konkreta mål och en tidsram för att uppnå dem i it-säkerhetsstrategierna eller it-säkerhetsplanerna.

24 I säkerhetsstrategier fastställs regler och förfaranden som personer som använder eller hanterar informations- och it-resurser måste följa. De bidrar till att begränsa cybersäkerhetsrisker och ger information om vad man ska göra vid en incident. Vi konstaterade att 78 % av EU:s institutioner, organ och byråer har en formell strategi för informationssäkerhet, men att enbart 60 % har formella strategier för it-säkerhet (se figur 1 för definitionerna av informationssäkerhet och it-säkerhet). Vi konstaterade även att fyra av de sju institutioner, organ och byråer som ingick i urvalet har säkerhetsstrategier som överensstämmer med deras it-säkerhetsstrategier. Vid tre av dessa fyra har dock it-säkerhetsstrategierna endast delvis kompletterats med uppdaterade och detaljerade säkerhetsstandarder som beskriver de operativa steg som krävs för att genomföra strategierna. Bristen på formella säkerhets­standarder ökar risken för att it-säkerhetsfrågor inte hanteras på ett lämpligt och enhetligt sätt inom samma institution, organ eller byrå. Vidare blir det svårare att bedöma huruvida organisationen efterlever sin egen it-säkerhetsstrategi. Bland de sju institutioner, organ och byråer som ingick i urvalet är det enbart kommissionen som har strukturerade förfaranden för att övervaka efterlevnaden av it-säkerhetsstrategier och it-säkerhetsstandarder, och de används bara av ett begränsat antal generaldirektorat (GD) (se ruta 1).

Ruta 1

Efterlevnad av it-säkerhet vid kommissionen

I linje med kommissionens decentraliserade it-förvaltning är chefen för varje generaldirektorat den tjänsteägare som är ansvarig och ansvarsskyldig för att systemen uppfyller it-säkerhetsstandarderna. Generaldirektoratet för informationsteknik och generaldirektoratet för personal och säkerhet övervakar och underlättar genomförandet av strategier för efterlevnadskontroll. GD Informationsteknik har inrättat ett verktyg (kallat ”GRC”) som gör det möjligt för generaldirektoraten att bedöma och rapportera om efterlevnaden av kontroller av it-säkerhetsstrategin.

De 580 kontrollerna är indelade i tre grupper: allmänna kontroller (främst av förvaltning), generaldirektoratsspecifika kontroller och systemspecifika kontroller. Verktyget är i drift, men än så länge är det bara fem generaldirektorat som använder det. GD Informationsteknik har därför ingen översikt över efterlevnaden inom kommissionen som helhet. Kommissionens styrelse för informationsteknik och cybersäkerhet (ITCB) kan dock be GD Informationsteknik att utreda efterlevnaden av en specifik standard (t.ex. flerfaktorsautentisering år 2021) och utfärda icke-bindande yttranden och rekommendationer samt, när det gäller kritiska risker, även formella krav.

25 Utnämnandet av en säkerhetsansvarig för informationssystemen är en annan viktig faktor inom god förvaltning av cybersäkerheten. Trots att det inte uttryckligen krävs enligt ISO 27000-standarderna18 har det blivit utbredd praxis bland organisationer att ha en säkerhetsansvarig för informationssystemen eller motsvarande, och det ingår i ISACA-riktlinjerna. Vanligtvis har den säkerhetsansvariga för informationssystemen det övergripande ansvaret för organisationens informations- och it-säkerhetsprogram. För att undvika eventuella intressekonflikter bör den säkerhetsansvariga för informationssystemen ha en viss grad av oberoende i förhållande till it-funktionen/it-avdelningen19.

26 Enligt vår enkät har 60 % av EU:s institutioner, organ och byråer inte utsett en oberoende säkerhetsansvarig för informationssystemen eller motsvarande. Och även om säkerhetsansvariga för informationssystemen (eller motsvarande) har utnämnts skiljer sig deras roller kraftigt åt – och deras uppdrag tolkas på olika sätt – mellan de olika institutionerna, organen och byråerna. Särskilt bland EU:s små och medelstora institutioner, organ och byråer tenderar säkerhetsansvariga för informationssystemen att ha mer operativa roller som inte är funktionellt oberoende av it-avdelningen. Det kan begränsa den säkerhetsansvarigas självständighet i fråga om att genomföra säkerhetsprioriteringar. Enisa arbetar för närvarande med en EU-ram för cybersäkerhetsfärdigheter som bland annat syftar till att skapa gemensam förståelse av roller, kompetenser och färdigheter.

De flesta riskbedömningar av it-säkerheten hos EU:s institutioner, organ och byråer omfattar inte hela it-miljön

27 I samtliga internationella standarder för it-säkerhet framhålls vikten av att fastställa en lämplig metod för att bedöma och hantera säkerhetsrisker som berör it-system och de data de innehåller. Riskbedömningar bör genomföras periodiskt för att behandla förändringar i en organisations informationssäkerhetskrav och de risker den ställs inför20. Bedömningarna bör följas av en plan för riskbegränsning (eller en it-säkerhetsplan).

28 De flesta av EU:s institutioner, organ och byråer (58 av 65) angav att de följer en ram eller metod för att genomföra riskbedömningar av it-systemen. Det finns dock ingen gemensam metod bland EU:s samtliga institutioner, organ och byråer. Minst 26 av dem använder helt eller delvis de metoder som kommissionen tagit fram, och 31 % använder 2018 års metod för hantering av it-säkerhetsrisker (ITSRM2). De övriga följer metoder som grundas på välkända branschstandarder (t.ex. ISO27001, ISO27005, National Institute of Standards and Technology Cybersecurity Framework eller kontroller enligt Center for Internet Security) eller använder andra interna metoder.

29 Bland de sju institutioner, organ och byråer som ingick i urvalet är det bara två som utför genomgripande riskbedömningar av hela it-miljön (dvs. alla it-system). De flesta genomför endast enskilda riskbedömningar av de viktigaste it-systemen. Vi identifierade flera exempel på riskbedömningar som genomfördes innan nya system infördes. Vi hittade dock inga bevis för uppföljande riskbedömningar med koppling till exempelvis senare ändringar av systemen eller infrastrukturen.

EU:s institutioner, organ och byråer hanterar inte cybersäkerhet på ett enhetligt sätt, och viktiga kontroller utförs inte alltid

Stora skillnader i tilldelningen av resurser till cybersäkerhet bland EU:s institutioner, organ och byråer

30 I vår enkät bad vi EU:s institutioner, organ och byråer att ange de totala it-utgifterna 2020 och en uppskattning av det belopp som avsatts till cybersäkerhet. Våra uppgifter visar stora skillnader i andelen it-utgifter som enskilda institutioner, organ och byråer avsätter till cybersäkerhet, även bland dem som är av liknande storlek sett till antalet anställda. Såsom visas ifigur 3 tenderar skillnaderna att vara särskilt stora bland institutioner, organ och byråer med färre anställda.

Figur 3 – Andelen cybersäkerhetsutgifter av de totala it-utgifterna (EU:s institutioner, organ och byråer grupperade efter antalet anställda)

Anm.: Fyra av institutionerna, organen och byråerna har inte lämnat uppgifter om sina cybersäkerhetsutgifter.

Källa: Revisionsrättens enkätundersökning.

31 Vad som är en optimal nivå på cybersäkerhetsutgifterna är svårt att bedöma i absoluta termer. Det beror på många faktorer, exempelvis organisationens attackyta, hur känsliga uppgifter den hanterar, dess riskprofil och riskbenägenhet samt sektorsspecifika rättsliga och lagstadgade krav. Våra uppgifter visar dock att skillnaderna är väsentliga, och anledningarna till detta är inte alltid självklara. Några institutioner, organ och byråer avsätter betydligt mindre medel till cybersäkerhet än andra av liknande storlek, vilket kan tyda på att de underutnyttjar medlen om de utsätts för liknande hot och risker.

32 De flesta av EU:s institutioner, organ och byråer är små eller medelstora med avseende på både personal och it-utgifter, och två tredjedelar av dem har färre än 350 anställda. Den minsta av dem har enbart 15 anställda. Det är mer utmanande och resursintensivt att hantera cybersäkerhet för mindre institutioner, organ och byråer. De kan oftast inte utnyttja stordriftsfördelar och saknar tillräcklig intern expertis. Enligt vår enkät och våra intervjuer har de största institutionerna, såsom kommissionen och Europaparlamentet, expertgrupper som hanterar cybersäkerhet på heltid. Vid de allra minsta institutionerna, organen och byråerna, där personalresurser och andra resurser är särskilt begränsade, finns det dock inga experter alls, och cybersäkerhet hanteras på deltid av personal med it-bakgrund. Eftersom EU:s institutioner, organ och byråer är tätt sammanlänkade medför detta en förhöjd risk (se även punkt 10).

33 I vår enkät frågade vi EU:s institutioner, organ och byråer om vilka som var de främsta utmaningarna med att genomföra ändamålsenliga cybersäkerhetsstrategier i respektive organisation (se figur 4). Den största utmaningen är att det råder brist på cybersäkerhetsexperter, och många institutioner, organ och byråer har svårt att locka till sig dem på grund av konkurrens från såväl den privata sektorn som andra av EU:s institutioner, organ och byråer. Återkommande problem inbegriper utdragna rekryteringsförfaranden, anställningsvillkor som inte är konkurrenskraftiga och brist på attraktiva karriärmöjligheter. Bristen på specialiserad personal utgör en betydande risk för en ändamålsenlig hantering av cybersäkerhet.

Figur 4 – Utmaningar i samband med genomförandet av ändamålsenliga cybersäkerhetsstrategier vid EU:s institutioner, organ och byråer (fler än ett alternativ kunde väljas)

Källa: Revisionsrättens enkätundersökning.

De flesta av EU:s institutioner, organ och byråer erbjuder någon form av utbildning om cybersäkerhetsmedvetenhet, men den är varken systematisk eller välriktad

34 Att utnyttja sårbarheter i system och enheter är inte det enda sättet för potentiella angripare att orsaka skada. De kan även förmå användare att avslöja känslig information eller ladda ned skadlig programvara, exempelvis genom nätfiske och social manipulering. Personalen ingår i den första försvarslinjen i alla organisationer. Därför är cybermedvetenhet och utbildningsprogram en avgörande del i en ändamålsenlig cybersäkerhetsram.

35 En övervägande majoritet av de institutioner, organ och byråer som granskades (95 %) tillhandahåller någon form av allmän utbildning kring cybermedvetenhet för all personal, men tre gör det inte. Det är dock enbart 41 % av dem som anordnar särskild utbildning eller möten för chefer för att öka medvetenheten, och enbart 29 % tillhandahåller obligatorisk cybersäkerhetsutbildning för chefer med ansvar för it-system som innehåller känslig information. Ledningens medvetenhet och engagemang är avgörande för en ändamålsenlig förvaltning av cybersäkerheten. Bland de elva institutioner, organ och byråer som nämnde att avsaknaden av ledningens stöd var en utmaning för ändamålsenlig cybersäkerhet var det bara tre som tillhandahöll ledningen medvetenhetshöjande utbildning. Fortlöpande cybersäkerhetsutbildning för it-personal och it-säkerhetsspecialister erbjuds av 58 % respektive 51 % av EU:s institutioner, byråer och organ.

36 Alla EU:s institutioner, organ och byråer har inte mekanismer för att kontrollera personalnärvaron vid cybersäkerhetsutbildningar och efterföljande förändringar av personalens medvetenhet och beteende. Särskilt inom mindre organisationer kan utbildningstillfällen om cybermedvetenhet tillhandahållas i samband med informella personalmöten. Organisationer mäter främst personalens medvetenhet genom att periodvis testa deras beteenden, bland annat med hjälp av mognadsundersökningar eller nätfiskeövningar. Under de senaste fem åren har 55 % av EU:s institutioner, organ och byråer anordnat en eller flera simulerade nätfiskekampanjer (eller liknande övningar). I och med att nätfiske är ett av de främsta hot som personal vid offentliga förvaltningar ställs inför21 utgör dessa övningar ett viktigt verktyg för att utbilda personalen och öka medvetenheten. Vi konstaterade att kommissionens åtgärder för cybermedvetenhet var god praxis och att de var tillgängliga för andra intresserade EU-institutioner, EU-organ och EU-byråer (se ruta 2).

Ruta 2

Utbildning kring cybermedvetenhet vid kommissionen

Kommissionen har en särskild arbetsgrupp för cybermedvetenhet (”Cyber Aware”) vid GD Informationsteknik som leder programmet för ökad cybersäkerhets­medvetenhet. Programmet förvaltas och drivs tillsammans med GD Personal och säkerhet, generalsekretariatet, generaldirektoratet för kommunikationsnät, innehåll och teknik samt CERT-EU. Utbildningen håller hög kvalitet och har i många fall interinstitutionell räckvidd. Utbildningstillfällena aviseras via Learning Bulletin, som når omkring 65 000 EU-anställda. Kommissionen har, via ”Cyber Aware”-plattformen, anordnat 15 nätfiskeövningar under de senaste fem åren. Nyligen genomfördes den första övningen som omfattade hela kommissionen.

Viktiga kontroller genomförs inte alltid, och de formaliseras inte alltid i standarder

37 Vi bad EU:s institutioner, organ och byråer att själva bedöma genomförandet av ett urval av viktiga kontroller22. Vi valde ut en uppsättning bästa praxis som även mindre organisationer rimligen skulle kunna genomföra23. Resultaten sammanfattas i figur 5. De flesta av de institutioner, organ och byråer som granskades har infört de utvalda viktiga kontrollerna. Inom vissa områden tycks dock kontrollerna vara bristfälliga eller begränsade vid minst 20 % av EU:s institutioner, organ och byråer.

Figur 5 – Genomförandet av viktiga kontroller vid EU:s institutioner, organ och byråer (resultat av självbedömningen)

Källa: Revisionsrättens enkätundersökning.

38 Vi bad de sju institutioner, organ och byråer som ingick i urvalet att lämna styrkande handlingar och motsvarande standarder/strategier för varje kontroll de uppgav hade genomförts. Vi inhämtade handlingar om 62 % av kontrollerna. Såsom klargjordes i samband med intervjuerna hade tekniska kontroller införts i flera fall, men de hade inte fastställts i form av – uppdaterade – standarder eller strategier, vilket ökar risken för att it-säkerhetsfrågor inte hanteras på ett enhetligt sätt inom samma EU-institution, EU-organ eller EU-byrå (se även punkt 24).

Flera av EU:s institutioner, organ och byråer låter inte regelbundet genomföra en oberoende certifiering av cybersäkerhetsarrangemangen

39 Enligt ISACA24 är internrevision en av de tre viktigaste försvarslinjerna i en organisation. De två andra är ledning och riskhantering. Internrevisioner bidrar till att förbättra förvaltningen av informations- och it-säkerheten. Vi undersökte hur ofta EU:s institutioner, organ och byråer inhämtar oberoende certifiering av it-säkerhetsramen, genom interna eller externa revisioner och genom proaktiva tester av cyberförsvaret.

40 Kommissionens tjänst för internrevision ansvarar bland annat för att genomföra it-revisioner av kommissionen samt av decentraliserade byråer, gemensamma företag och Europeiska utrikestjänsten. Tjänstens uppdrag omfattar 46 (70 %) av de 65 institutioner, organ och byråer som vi granskade, och den har genomfört revisioner med koppling till it-säkerhet vid sex av dem under de senaste fem åren. Vidare har GD Personal och säkerhet befogenhet att genomföra it-säkerhetsinspektioner som omfattar tekniska aspekter av informationssäkerheten25. Av de övriga institutionerna, organen och byråerna rapporterade sju att de har en egen internrevisionsfunktion som arbetar med it-aspekter, men för tolv av dem var svaren i vår enkät inte tillräckliga för att avgöra om de har sådan intern revisionskapacitet.

41 Externa it-säkerhetsrevisioner som genomförs av oberoende enheter är ett annat sätt att få en oberoende certifiering. Trots det snabbföränderliga cyberlandskapet hade 34 % av EU:s institutioner, organ och byråer, från början av 2015 till första kvartalet 2021, inte genomgått någon intern eller extern it-säkerhetsrevision. En uppdelning av den siffran per typ av EU-institution, EU-organ och EU-byrå visar att 75 % av EU:s organ, 66 % av EU:s gemensamma företag och 45 % av de civila uppdragen inte har genomgått någon intern eller extern it-säkerhetsrevision sedan 2015.

42 Ett annat sätt för organisationer att certifiera it-säkerhetsramar, utöver intern och extern revision, är att proaktivt testa cyberförsvaret för att identifiera sårbarheter. Penetrationstest (vilket även kallas etisk hackning), som görs med hjälp av auktoriserade, simulerade cyberattacker mot enskilda datorsystem är en metod för att göra detta. Som svar på vår enkät angav 69 % av EU:s institutioner, organ och byråer att de hade genomfört minst ett penetrationstest under de senaste fem åren. I 45 % av fallen var det CERT-EU som genomförde penetrationstesterna.

43 ”Red teaming” är ett annat sätt att testa cyberförsvar genom simulerade attacker, med hjälp av tekniker som nyligen har använts i samband med verkliga attacker. De är mer komplexa och omfattande än penetrationstester eftersom de inbegriper flera system och potentiella attackvägar. EU:s institutioner, organ och byråer genomför dem mer sällan: 46 % av dem rapporterade minst en ”red team”-övning under de senaste fem åren. CERT-EU genomförde 75 % av dessa övningar. Det krävs omfattande arbete för att förbereda och genomföra ”red team”-övningar, och CERT-EU har för närvarande inte kapacitet att genomföra fler än fem till sex övningar per år.

44 Om man bortser från två av EU:s institutioner, organ och byråer som nyligen har inrättats hade 16 (25 %) av dem som granskades inte genomfört penetrationstester eller ”red team”-övningar under de senaste fem åren. Sammanlagt sju (10 %) av EU:s institutioner, organ och byråer hade inte genomgått någon form av oberoende certifiering av it-säkerhetsarrangemangen: ett gemensamt företag, en decentraliserad byrå och fem civila uppdrag.

EU:s institutioner, organ och byråer har inrättat samarbetsmekanismer, men det finns brister

45 I detta avsnitt behandlas de aktörer och kommittéer som inrättats för att främja samarbete bland EU:s institutioner, organ och byråer på cybersäkerhetsområdet samt interinstitutionell förvaltning och samordningsarrangemang. Närmare bestämt granskade vi två interinstitutionella aktörer – Enisa och CERT-EU – och två interinstitutionella kommittéer – den interinstitutionella kommittén för digital omställning (ICDT), i synnerhet undergruppen för cybersäkerhet (CSSG), samt den rådgivande kommittén för informations- och kommunikationsteknik (ICTAC). Vi bedömde också i vilken utsträckning de har fört med sig synergieffekter som ökar cybersäkerhetsberedskapen hos EU:s institutioner, organ och byråer.

Det finns en formaliserad struktur för samordning av verksamheterna vid EU:s institutioner, organ och byråer, om än med vissa förvaltningsproblem

46 Den interinstitutionella kommittén för digital omställning och den rådgivande kommittén för IKT är de två huvudsakliga kommittéer som främjar it-samarbete bland EU:s institutioner, organ och byråer. Den interinstitutionella kommittén för digital omställning består av it-chefer från EU:s institutioner och organ och är ett forum som syftar till att främja informationsutbyte och samarbete. Den interinstitutionella kommittén har en undergrupp för cybersäkerhet (ICDT CSSG) som rapporterar till kommittén och kan rekommendera beslut om specifika frågor. Den rådgivande kommittén för IKT är i sin tur en undergrupp vid EU-byråernas nätverk, ett informellt nätverk som har inrättats av cheferna för de EU-byråer som fokuserar på samarbete med byråer och gemensamma företag. Både den interinstitutionella kommittén (ICDT) och den rådgivande kommittén (ICTAC) har tydligt definierade roller som kompletterar varandra: den rådgivande kommittén omfattar decentraliserade byråer och gemensamma företag, medan den interinstitutionella kommittén omfattar institutioner och organ. De båda kommittéerna är till sin natur ganska informella rådgivande grupper och forum för utbyte av information och bästa praxis. Närmare information om dessa interinstitutionella kommittéer finns i bilaga II.

EU:s institutioner, organ och byråer är inte alltid tillräckligt representerade i relevanta forum

47 Representationsstrukturerna är tydliga, men alla institutioner, organ och byråer anser inte att deras faktiska representation är tillräcklig. När vi i vår enkät bad EU:s institutioner, organ och byråer att kommentera påståendet ”Mina behov beaktas i tillräcklig utsträckning i relevanta interinstitutionella forum, och min institution, mitt organ eller min byrå är tillräckligt representerad/representerat i beslutsfattande styrelser” höll 42 % av dem inte med om detta påstående. Några av de minsta institutionerna, organen och byråerna ansåg att de inte hade tillräckliga resurser för att aktivt delta i interinstitutionella forum.

48 CERT-EU:s styrelse, dess huvudsakliga beslutsfattande organ, är heller inte representativ för avtalsparterna som helhet. CERT-EU tillhandahåller tjänster till 87 av EU:s institutioner, organ och byråer och tre andra organisationer. I styrelsen sitter dock endast företrädare för de elva som har undertecknat det interinstitutionella avtalet (de sju EU-institutionerna plus Europeiska utrikestjänsten, Europeiska ekonomiska och sociala kommittén, Regionkommittén och Europeiska investeringsbanken) samt en företrädare för Enisa, och var och en av dem har en röst26.

49 Över hälften av CERT-EU:s avtalsparter utgörs av EU:s decentraliserade byråer och gemensamma företag, vilka tillsammans har omkring 12 000 anställda. Formellt sett företräder Enisa deras intressen i CERT-EU:s styrelse. Enisas mandat att företräda EU:s byråer och gemensamma företag är dock svagt, i och med att Enisa inte direkt har utsetts eller valts av dem. I praktiken uttrycks decentraliserade byråers och gemensamma företags åsikter vid styrelsemöten av en företrädare från den rådgivande kommittén för IKT, som får närvara för att bistå Enisa i rollen att företräda byråerna. Trots att den rådgivande kommittén för IKT framför 48 institutioners, organs och byråers åsikter och intressen har dess företrädare för närvarande ingen formell plats eller röst i styrelsen. I april 2021 översände den rådgivande kommittén en formell begäran om rösträtt i styrelsen till CERT-EU:s styrelse. När denna rapport skrivs har begäran ännu inte beviljats. En översikt över representationen av EU:s institutioner, organ och byråer i beslutsfattande styrelser och kommittéer finns i figur 6.

Figur 6 – Översikt över förvaltningen av cybersäkerhet och representationen i beslutsfattande styrelser och kommittéer

Källa: Revisionsrätten.

50 Den interinstitutionella cybersäkerhetsförvaltningen vid EU:s institutioner, organ och byråer är fragmenterad och det finns för närvarande ingen gemensam enhet som har en övergripande överblick över respektive organisations cybersäkerhetsmognad eller befogenhet att inta en ledande roll eller genomdriva gemensamma bindande regler. Enisa och CERT-EU kan bara ”stödja” och ”bistå” EU:s institutioner, organ och byråer. Relevanta kommittéer har ingen beslutsfattande befogenhet och kan enbart lämna rekommendationer till EU:s institutioner, organ och byråer. För en femtedel av de institutioner, organ och byråer som granskades är det inte heller tydligt vart de ska vända sig för en specifik tjänst, ett specifikt verktyg eller en specifik lösning.

Det finns samförståndsavtal mellan centrala aktörer men de har hittills inte lett till konkreta resultat

51 Ett samförståndsavtal mellan Enisa, CERT-EU, Europeiska it-brottscentrumet vid Europol (EC3) och Europeiska försvarsbyrån (EDA) undertecknades i maj 2018. Avtalets fokus låg på fem samarbetsområden: informationsutbyte, utbildning, cyberövningar, tekniskt samarbete samt strategiska och administrativa frågor. Samförståndsavtalet skulle kunna bidra till att undvika dubbelarbete genom ett gemensamt arbetsprogram, men vi har inte sett några bevis på att det har lett till konkreta resultat eller gemensamma åtgärder.

52 I cybersäkerhetsakten, som trädde i kraft i juni 2019, angavs att ett nytt och särskilt samarbetsavtal skulle slutas mellan CERT-EU och Enisa. Det är anmärkningsvärt att det dröjde mer än två och ett halvt år innan samförståndsavtalet slutligen undertecknades i februari 2021. Genom samförståndsavtalet försöker man upprätta ett strukturerat samarbete mellan CERT-EU och Enisa. Avtalet fastställer deras samarbetsområden (kapacitetsuppbyggnad, operativt samarbete samt kunskap och information) och anger en ungefärlig fördelning av ansvarsområden mellan dem: CERT-EU kommer att inta en ledande roll i fråga om att bistå EU:s institutioner, organ och byråer, och Enisa kommer att bidra till insatsen. I samförståndsavtalet fastställs inte de praktiska arrangemangen, i och med att de preciseras i en årlig samarbetsplan. Den första årliga samarbetsplanen för 2021 antogs av Enisas styrelse i juli 2021 och av CERT-EU:s styrelse i september 2021. Det var därför för tidigt att vid vår revision bedöma om planen har lett till några konkreta resultat.

53 Med tanke på att de båda samförståndsavtal som nämns i punkterna 51 och 52 har gemensamma mål och samarbetsområden, såsom utbildning, övningar och informationsutbyte, finns det risk för överlappningar och dubbelarbete.

Potentiella synergieffekter genom samarbete utnyttjas ännu inte fullt ut

Positiva åtgärder har vidtagits för att uppnå synergieffekter

54 Arbetsprogrammen för den rådgivande kommittén för IKT och undergruppen för cybersäkerhet vid den interinstitutionella kommittén för digital omställning identifierar relevanta områden där effektivitetsvinster kan uppnås genom samarbete. Praktiska exempel på initiativ som har gjort det möjligt för EU:s institutioner, organ och byråer att dra nytta av synergieffekter inbegriper

  • interinstitutionella ramavtal,
  • ett gemensamt centrum för katastrofberedskap som sedan 2019 hyses av Europeiska unionens immaterialrättsbyrå (EUIPO) för de decentraliserade byråerna, vilket möjliggör kostnadsbesparingar på minst 20 % jämfört med marknadspriserna (nio byråer har infört denna lösning för katastrofberedskap),
  • avtal mellan sex gemensamma företag med lokaler i samma byggnad om att dela gemensam infrastruktur och en gemensam it-säkerhetsram (sedan 2014).

55 Ett annat viktigt exempel är ”GovSec”, ett system som hjälper EU:s institutioner, organ och byråer att utföra riskbedömningar innan de inför molnlösningar. Enligt vår enkät använder 75 % av EU:s institutioner, organ och byråer redan vissa offentliga molnplattformar, och flera av dem som inte gör det planerar att migrera till molnet. Sedan 2019 har kommissionen följt en ”molnet först”-strategi, enligt vilken man planerar för en säker hybridtjänst för multimoln27. Kommissionen fungerar även som molnmäklare för alla EU:s institutioner, organ och byråer inom ramen för ramavtalet ”Cloud II”. Hanteringen av säkerhets- och dataskyddsrisker på molnplattformar kräver nya färdigheter och en annorlunda strategi jämfört med traditionell it-infrastruktur ”på plats”. Ändamålsenlig hantering av informationssäkerhetsrisker i molnet är en gemensam utmaning för EU:s institutioner, organ och byråer, och ”GovSec” är ett exempel på en lösning som kan tillgodose behoven hos flera, om inte alla, av dem.

Samarbetet och utbytet av praxis bland EU:s institutioner, organ och byråer är fortfarande inte optimala

56 Förekomsten av interinstitutionella kommittéer leder inte automatiskt till synergieffekter, och EU:s institutioner, organ och byråer delar inte alltid bästa praxis, expertis, metoder eller lärdomar. Dessutom är det upp till varje institution, organ och byrå att själv bestämma över graden av delaktighet i det arbete som utförs av undergruppen för cybersäkerhet vid den interinstitutionella kommittén för digital omställning. Ledamöterna i undergruppen närvarar visserligen vid möten men kan enbart bidra i den utsträckning som deras vanliga arbetsuppgifter vid EU:s institutioner, organ och byråer tillåter, och det har redan lett till att framstegen dröjt när det gäller genomförandet av de åtgärder som vissa arbetsgrupper kommit överens om.

57 Vi fann specifika områden där det saknas arrangemang för att EU:s institutioner, organ och byråer ska kunna dela erfarenheter och initiativ. Enligt ramavtalet ”Network Defence Capability” (NDC) kan exempelvis EU:s institutioner, organ och byråer begära en studie för att konsolidera cybersäkerhetskrav och hitta lösningar. Det finns dock ingen katalog över sådana studier som utförts eller begärts av andra institutioner, organ eller byråer, och de kan således begära samma studie flera gånger. Dessutom informerar EU:s institutioner, organ och byråer inte systematiskt varandra om att de har ett avtalsförhållande med specifika leverantörer eller använder en specifik programvarulösning. Denna kunskapslucka kan leda till merkostnader och missade synergieffekter.

58 EU:s institutioner, organ och byråer delar inte heller systematiskt information med varandra om cybersäkerhetsprojekt som de genomför, även om de skulle kunna ha interinstitutionell inverkan. Mandatet för undergruppen för cybersäkerhet vid den interinstitutionella kommittén för digital omställning inbegriper en bestämmelse om att EU:s institutioner, organ och byråer ska dela information om nya projekt som potentiellt påverkar cybersäkerheten för andra institutioner, organ och byråer och/eller skyddet av information som kommer från dem. Undergruppen informeras dock inte om sådana projekt.

59 När en ny byrå inrättas måste den bygga upp it-infrastrukturen och it-säkerhetsramen från grunden. Det finns ingen ”tjänstekatalog” eller verktygslåda och inte heller några tydliga riktlinjer eller krav för nya byråer. Detta leder till en betydande heterogenitet i it-miljöerna hos EU:s institutioner, organ och byråer där varje organisation på egen hand och oberoende av andra kan upphandla sin programvara, hårdvara och infrastruktur samt sina tjänster. Samma sak gäller för it-säkerhetsramen när det saknas gemensamma krav och standarder. Denna situation leder till potentiellt dubbelarbete och ineffektiv användning av EU-medel, men även till ökad komplexitet för CERT-EU när det gäller det stöd som det måste tillhandahålla.

Det finns praktiska brister i utbytet av känslig information

60 Några av EU:s institutioner, organ och byråer saknar fortfarande lämpliga lösningar för att utbyta känslig icke-säkerhetsskyddsklassificerad information. De som har sådana lösningar på plats har i allmänhet infört egna olika produkter och system, vilket innebär problem för interoperabiliteten. Gemensamma och säkra plattformar finns enbart för särskilda ändamål. Ett exempel på detta är de plattformar som CERT-EU erbjuder samtliga avtalsparter för att utbyta känslig information om incidenter, hot och sårbarheter.

61 Till exempel har över 20 % av EU:s institutioner, organ och byråer inte någon krypterad e-posttjänst. De som har en sådan tjänst ställs ofta inför interoperabilitets­problem, och certifikaten är inte ömsesidigt erkända. Den rådgivande kommittén för IKT och den interinstitutionella kommittén för digital omställning har diskuterat lösningar för en skalbar och interoperabel lösning i flera år och 2018 genomfördes ett pilotprojekt. Problemet är dock ännu inte löst.

62 Avsaknaden av gemensamma markeringar av känsliga icke-säkerhetsskydds­klassificerade uppgifter är ett annat problem. Markeringar är klassificeringar som visar uppgiftsinnehavaren vilka specifika skyddskrav som gäller för dessa uppgifter. De skiljer sig åt bland EU:s institutioner, organ och byråer, vilket komplicerar utbyte och korrekt hantering av information.

63 År 2020 tvingade covid-19-pandemin EU:s institutioner, organ och byråer att införa kommunikations- och videokonferensverktyg i stor skala för att säkerställa driftskontinuiteten. Vi identifierade minst 15 olika programvarulösningar för videokonferenser som används bland EU:s institutioner, organ och byråer. Även när olika institutioner, byråer och organ använder samma lösning eller plattform saknas fortfarande ofta interoperabilitet. Dessutom skilde sig riktlinjerna åt mellan de olika institutionerna, organen och byråerna när det gäller vilken information (med avseende på känslighet) som kan delas eller diskuteras på en viss plattform. Sådana problem leder till ekonomisk och operativ ineffektivitet och kan skapa potentiella säkerhetsproblem.

Enisa och CERT-EU har ännu inte gett EU:s institutioner, organ och byråer allt det stöd de behöver

64 För detta avsnitt granskade vi de två huvudsakliga enheter som har i uppdrag att stödja EU:s institutioner, organ och byråer kring cybersäkerhet: Enisa och CERT-EU. Vi bedömde om stödet från dessa båda enheter har nått EU:s institutioner, organ och byråer och tillgodoser deras behov och lyfter fram orsakerna till de brister vi identifierade.

Enisa är en viktig aktör i EU:s cybersäkerhetslandskap, men stödet har hittills bara nått ett fåtal av EU:s institutioner, organ och byråer

65 I juni 2019 trädde cybersäkerhetsakten28 i kraft. Den ersatte Enisas tidigare rättsliga grund29 och gav byrån ett starkare mandat. Närmare bestämt föreskriver den att Enisa aktivt bör stödja både medlemsstaterna och EU:s institutioner, organ och byråer med att förbättra cybersäkerheten genom att bygga upp kapaciteten, stärka det operativa samarbetet och skapa synergieffekter. På kapacitetsuppbyggnadsområdet har Enisa nu mandat att bistå EU:s institutioner, organ och byråer ”i deras ansträngningar för att förbättra förebyggandet, upptäckten och analysen av cyberhot och cyberincidenter, […] särskilt genom lämpligt stöd för CERT-EU”30. Enisa bör även bistå EU:s institutioner med utarbetandet och översynen av EU:s cybersäkerhets­strategier och därvid främja deras spridning och övervaka framstegen i genomförandet av dem.

66 Trots att cybersäkerhetsakten tydligt fastställer att Enisa bör stödja EU:s institutioner, organ och byråer i arbetet med att förbättra deras cybersäkerhet har Enisa ännu inte färdigställt några handlingsplaner när det gäller målet att bistå EU:s institutioner, organ och byråer i deras kapacitetsuppbyggnad (se ruta 3 för närmare information).

Ruta 3

Bristande överensstämmelse mellan Enisas mål och output när det gäller EU:s institutioner, organ och byråer

Några av Enisas treåriga prioriteringar, som förtecknas i det fleråriga arbetsprogrammet för 2018–2020 under mål 3.2 (bistå EU-institutionernas kapacitetsuppbyggnad), är följande:

  • Ge proaktiva råd till unionens institutioner om hur de kan stärka sin nät- och informationssäkerhet (identifiera prioriteringar för de av EU:s byråer och organ som har störst kapacitetsuppbyggnadsbehov när det gäller nät- och informationssäkerhet genom att upprätta regelbundna kontakter med dem (t.ex. årliga workshoppar) och fokusera på dessa prioriteringar).
  • Försöka bistå och underlätta för EU:s institutioner när det gäller strategier för nät- och informationssäkerhet (inrätta partnerskap med CERT-EU och institutioner med stark kapacitet på området nät- och informationssäkerhet för att stödja sina åtgärder inom ramen för detta mål).

I Enisas arbetsprogram för 2018, 2019 och 2020 finns enbart två operativa mål (output) under mål 3.2:

  • Delta i CERT-EU:s styrelse och representera de EU-byråer som använder CERT-EU:s tjänst.
  • Samarbeta med relevanta EU-organ kring initiativ som omfattar nät- och informationssäkerhetsdimensioner med koppling till deras uppdrag (inbegripet Easa, CERT-EU, EDA och EC3).

De operativa målen inbegriper inte någon verksamhet med koppling till proaktiva råd. Målet att identifiera prioriteringar för byråer med störst behov omsattes inte heller i operativ output, eftersom det ersattes av målet att samarbeta med byråer för att företräda deras behov vid CERT-EU:s styrelse.

67 Enisas huvudsakliga beslutsfattande organ är styrelsen, som består av en ledamot från var och en av de 27 medlemsstaterna och två ledamöter som utses av kommissionen31 (se figur 6). Varje ledamot har en röst och beslut fattas med majoritetsomröstning32. Till följd av detta kan åtgärder som berör medlemsstaterna ges högre prioritet än sådana som berör EU:s institutioner, organ och byråer. I Enisas arbetsprogram för 2018 beslutade till exempel styrelsen, på grund av bristande resurser, att prioritera vissa verksamheter och stryka tre. En av dem var stödet till att bedöma befintliga strategier, förfaranden och praxis kring nät- och informations­säkerhet inom EU:s institutioner. Syftet med denna verksamhet var att Enisa skulle kunna skapa en översikt över institutionernas, organens och byråernas praxis och indikativa cybersäkerhetsmognad som ska ligga till grund för framtida riktade åtgärder.

68 Det innebär att Enisas ambition att tillhandahålla proaktivt stöd till EU:s institutioner, organ och byråer, vilket anges i de strategiska målen, inte har lett till några operativa mål eller konkreta åtgärder. Stödet på områdena kapacitets­uppbyggnad och operativt samarbete har hittills begränsats, på begäran, till vissa specifika institutioner, organ och byråer.

69 Cybersäkerhetsakten föreskriver även att Enisa bör tillhandahålla lämpligt stöd till CERT-EU för att bistå EU:s institutioner, organ och byråer med kapacitetsuppbyggnad. Vid den tidpunkt då revisionen genomfördes var det stödet begränsat till ett fåtal specifika insatser. År 2019 genomförde Enisa exempelvis en sakkunnigbedömning av CERT-EU, inom ramen för dess medlemskap i EU:s CSIRT-nätverk (som inrättades genom nätverks- och informationssäkerhetsdirektivet).

70 Enligt svaren på vår enkät offentliggör Enisa rapporter av hög kvalitet och riktlinjer för cybersäkerhet, och några av dem används av EU:s institutioner, organ och byråer. Det finns dock inga riktlinjer som är specifikt riktade till EU:s institutioner, organ och byråer och deras egna miljöer och behov. EU:s institutioner, organ och byråer, särskilt de med mindre utvecklad cybersäkerhet, behöver praktisk vägledning om både ”vad” de ska göra och ”hur” de ska göra det. Hittills har Enisa och CERT-EU gett sådant stöd i begränsad, osystematisk omfattning.

71 Enisa har anordnat ett antal utbildningskurser om cybersäkerhet som huvudsakligen riktat sig till medlemsstaternas myndigheter men där det även funnits ett begränsat antal deltagare från EU:s institutioner, organ och byråer. Enisa har endast tillhandahållit två självstudiekurser som särskilt riktat sig till EU:s institutioner, organ och byråer. Enisa erbjuder även utbildningsmaterial online på sin webbplats, som EU:s institutioner, organ och byråer har tillgång till, men det har än så länge främst rört kurser för tekniska CSIRT-experter och är således inte till nytta för majoriteten av EU:s institutioner, organ och byråer.

72 Utöver utbildning kan Enisa stödja EU:s institutioner, organ och byråer genom cybersäkerhetsövningar. I oktober 2020 hjälpte Enisa, i samarbete med CERT-EU, till med att genomföra en cybersäkerhetsövning för den rådgivande kommittén för IKT, och det är den enda övning som Enisa har anordnat specifikt för deltagare från EU:s institutioner, organ och byråer. Utöver den övningen har Enisa bidragit till att organisera ett antal övningar på begäran av vissa institutioner, organ och byråer (t.ex. eu-Lisa, Emsa, Europaparlamentet och Europol), främst för berörda parter vid medlemsstaternas myndigheter, men även en del personal från EU:s institutioner, organ och byråer har deltagit.

73 Med cybersäkerhetsakten infördes också en ny roll för Enisa som gick ut på att, på frivillig basis, bistå institutionerna, organen och byråerna i deras riktlinjer för att offentliggöra sårbarheter. Enisa har dock fortfarande inte någon översikt över enskilda institutioners, organs och byråers riktlinjer för att offentliggöra sårbarheter och hjälper dem inte att fastställa och genomföra dessa riktlinjer.

CERT-EU värderas högt av avtalsparterna, men dess resurser står inte i proportion till aktuella cybersäkerhetsutmaningar

74 Efter en rad initiativ (se figur 7) inrättades i september 2012, genom ett kommissionsbeslut33, incidenthanteringsorganisationen för EU:s institutioner och byråer (CERT-EU) som en permanent arbetsgrupp för EU:s institutioner, organ och byråer (se punkt 08).

Figur 7 – CERT-EU:s historia

Källa: Revisionsrätten.

75 CERT-EU är oberoende i sitt arbete, men är fortfarande en arbetsgrupp utan juridisk personlighet. Organisationen är administrativt placerad vid Europeiska kommissionen (GD Informationsteknik) som den får logistikstöd och administrativt stöd från. CERT-EU:s mål är att göra IKT-infrastrukturen vid EU:s institutioner, organ och byråer säkrare genom att stärka deras kapacitet att hantera cyberhot och sårbarheter samt förebygga, upptäcka och reagera på cyberattacker. CERT-EU har omkring 40 anställda som är indelade i specialiserade enheter. Enheterna fokuserar till exempel på underrättelser om cyberhot, it-forensik och hantering av incidenter.

CERT-EU är en uppskattad partner med en ökande arbetsbelastning

76 CERT-EU begär återkoppling och förslag från avtalsparterna genom kvartalsvisa workshoppar, årliga bilaterala möten och användarenkäter. Enligt användarenkäterna och vår egen enkät är avtalsparterna generellt sett nöjda med de tjänster som CERT-EU tillhandahåller. Utvecklingen av CERT-EU:s tjänstekatalog vittnar om ansträngningarna för att anpassa sig till behoven hos EU:s institutioner, organ och byråer.

77 Stora institutioner, organ och byråer med betydande intern kapacitet brukar främst använda CERT-EU som ett centrum för informationsutbyte och en källa till underrättelser om hot, medan de mindre förlitar sig på CERT-EU för ett bredare utbud av tjänster såsom övervakningsloggar, penetrationstester, ”red team”-övningar och stöd till incidenthantering. CERT-EU:s tjänster är särskilt värdefulla för de mindre institutionerna, organen och byråerna eftersom de har begränsad intern expertis och saknar stordriftsfördelar (se punkterna 31 och 33).

78 CERT-EU har stärkt kapaciteten och förfarandena under de senaste åren mot bakgrund av den dramatiska ökningen av hot och incidenter. Antalet informations­produkter som CERT-EU tar fram, i synnerhet varningar och meddelanden om hot, har ökat stadigt (figur 8). År 2020 utfärdade CERT-EU 171 meddelanden om hot och 53 varningar om hot (betydligt fler än de 80 meddelanden och 40 varningar som den ursprungligen förväntades utfärda).

Figur 8 – Ökning av produkter för underrättelser om hot

Källa: Revisionsrätten, på grundval av uppgifter från CERT-EU.

79 CERT-EU stöder även EU:s institutioner, organ och byråer i hanteringen av cyberincidenter. 52 % av EU:s institutioner, organ och byråer har interna incidenthanteringsgrupper eller åtminstone en incidenthanteringssamordnare, men övriga 48 % förlitar sig på CERT-EU och/eller andra externa leverantörer vid en incident. Men även stora institutioner, organ och byråer med intern incident­hanteringskapacitet kan begära stöd från CERT-EU för att hantera komplexa incidenter.

80 Det totala antalet incidenter som hanterades av CERT-EU ökade från 561 år 2019 till 884 år 2020. Det är framför allt de betydande incidenterna som har ökat, från bara en år 2018 till 13 år 2020. År 2021 hanterades 17 betydande incidenter, vilket var en ökning från 13 under 2020 som i sig var ett rekordår. De betydande incidenterna orsakas vanligtvis av mycket sofistikerade hot. De kan påverka flera av EU:s institutioner, organ och byråer, inbegriper kontakter med myndigheter och tar vanligtvis veckor eller till och med månader för de drabbade parterna och CERT-EU att utreda och avhjälpa.

81 CERT-EU är även den främsta leverantören av proaktiva bedömningar och tester av cyberförsvaret vid EU:s institutioner, organ och byråer. En sammanfattning av CERT-EU:s verksamhet på det området finns i figur 9 nedan. Dessutom utför CERT-EU sedan 2020 även externa nätverksskanningar.

Figur 9 – Tester och bedömningar utförda av CERT-EU

Källa: Revisionsrätten, på grundval av uppgifter från CERT-EU.

Avtalsparter delar inte relevant information med CERT-EU inom rimlig tid

82 Det interinstitutionella avtalet34 anger att avtalsparterna ska informera CERT-EU om betydande cybersäkerhetsincidenter. I praktiken har det dock inte alltid skett. Det interinstitutionella avtalet fastställer inte någon mekanism för att verkställa obligatorisk och skyndsam rapportering av ”betydande” incidenter från CERT-EU:s avtalsparter. Den allmänna definitionen av ”betydande incidenter” i det interinstitutionella avtalet innebär att det är upp till EU:s institutioner, organ och byråer att avgöra om de ska rapportera en incident. Enligt CERT-EU:s ledning har vissa avtalsparter inte delat information om betydande incidenter i tid, vilket har hindrat CERT-EU från att utöva sin roll som samordningscentrum för informationsutbyte och incidenthantering på cybersäkerhetsområdet för alla EU:s institutioner, organ och byråer. Det var till exempel en avtalspart som stod inför ett mycket sofistikerat hot men som varken informerade eller begärde stöd från CERT-EU. Det hindrade CERT-EU från att samla in underrättelser om cyberhot som skulle ha varit till nytta i stödet till andra avtalsparter som stod inför samma hot. Minst sex av EU:s institutioner, organ och byråer påverkades av attacken.

83 Dessutom har avtalsparter inte aktivt delat aktuell information med CERT-EU om hot och sårbarheter på cybersäkerhetsområdet som påverkar dem, trots att de enligt det interinstitutionella avtalet35 ska göra det. CERT-EU:s enhet för it-forensik och incidenthantering har inte mottagit anmälningar om sårbarheter eller brister i kontroller som upptäckts i andra sammanhang än de incidenter som aktivt utreds. Avtalsparterna delar inte proaktivt relevanta iakttagelser från interna eller externa säkerhetsrevisioner.

84 Det interinstitutionella avtalet gör det dessutom inte obligatoriskt för EU:s institutioner, organ och byråer att rapportera betydande förändringar i it-miljön till CERT-EU, och till följd av detta har avtalsparter inte systematiskt informerat CERT-EU om relevanta förändringar. Till exempel informerar EU:s institutioner, organ och byråer inte alltid CERT-EU om eventuella ändringar i sina IP-intervall (dvs. listan över internetadresser i deras infrastruktur). CERT-EU behöver uppdaterade IP-intervall för att exempelvis genomföra skanningar när större sårbarheter upptäcks. Om EU:s institutioner, organ och byråer underlåter att informera CERT-EU om sådana förändringar påverkar det dess förmåga att stödja dem. Underlåtelse att informera CERT-EU påverkar även dess förmåga att övervaka system och leder till merarbete för att korrigera oriktiga data i övervakningsverktygen. Enligt ledningen upptäcker CERT-EU ibland tidigare okänd it-infrastruktur när en incident hanteras. Utöver specifika fall har CERT-EU för närvarande inte heller någon heltäckande översikt över de it-system och nätverk som används vid EU:s institutioner, organ och byråer.

85 I avsaknad av en verkställighetsmekanism i det interinstitutionella avtalet kommer informationen från EU:s institutioner, organ och byråer till CERT-EU fortsatt att vara inkonsekvent, trots att denna information är en viktig faktor för att skapa kollektiv cyberberedskap bland EU:s institutioner, organ och byråer som är centrerad kring CERT-EU.

CERT-EU:s resurser är instabila och står inte i proportion till den nuvarande hotnivån

86 I det interinstitutionella avtalet36 anges att ”CERT-EU bör få en hållbar finansiering och personalstyrka, samtidigt som man säkerställer kostnadseffektivitet och en lämplig kärna av fast anställd personal”. CERT-EU:s allra viktigaste tillgång är den mycket välutbildade och specialiserade personalen. Figur 10 visar hur personalstyrkan vid CERT-EU har förändrats sedan starten 2011 fram till i dag.

87 Mer än två tredjedelar av CERT-EU:s anställda har tillfälliga kontrakt. Lönen är inte särskilt konkurrenskraftig på marknaden för cybersäkerhetsexperter, och enligt CERT-EU:s ledning har det blivit allt svårare att anställa och behålla dem. När lönerna inte är tillräckligt attraktiva för erfarna kandidater blir CERT-EU tvunget att anställa mindre erfaren personal och investera tid i att utbilda den. Dessutom har kontrakten en längsta giltighetstid på sex år, vilket innebär att CERT-EU inte har något annat val än att låta kontraktsanställda tjänstemän gå när de har byggt upp som mest expertis. Personalomsättningen var särskilt hög under 2020: 21 % av personalen lämnade CERT-EU, och det var inte möjligt att rekrytera ersättare för alla. När det gäller tidigare år slutade 9 % av personalen 2019 och 13 % under 2018.

Figur 10 – CERT-EU:s resurser och utmaningar

Källa: Revisionsrätten, på grundval av uppgifter från CERT-EU.

88 CERT-EU:s ledning har framhållit att CERT-EU:s enhet för it-forensik och incidenthantering för närvarande ofta är överbelastad, och övriga enheter kan inte hålla jämna steg med efterfrågan. Till följd av detta har CERT-EU tvingats skära ned på verksamheten. Till exempel genomför CERT-EU för närvarande inte mognads­bedömningar av avtalsparterna på grund av resursbrist. CERT-EU:s tjänst för varningar om misstänkta aktiviteter togs i bruk senare än förväntat, återigen på grund av resursbrist. Vidare påpekade flera av de avtalsparter vi intervjuade att de fick vänta länge för att få tillgång till CERT-EU:s tjänster.

89 Resursbegränsningarna har hittills tvingat CERT-EU att fokusera främst på att skydda konventionell it-infrastruktur ”på plats” mot större hot från (vanligtvis statligt stödda) grupper som utgör avancerade långvariga hot. Enligt ledningen kräver den utvidgade it-perimetern vid EU:s institutioner, organ och byråer (som nu inbegriper molnet, mobila enheter och verktyg för distansarbete) stärkt övervakning och skydd, och hot på lägre nivå (t.ex. it-brottslighet och gisslanprogram) kräver också mer uppmärksamhet.

90 Det interinstitutionella avtalet föreskriver inte att CERT-EU ska ha operativ kapacitet dygnet runt alla dagar i veckan. CERT-EU har för närvarande inte de resurser eller den personalram som behövs för att på ett varaktigt och strukturerat sätt hålla i gång verksamheten utanför kontorstid, trots att cybersäkerhetsattacker inte enbart sker under denna tid. När det gäller EU:s institutioner, organ och byråer själva har enbart 35 av de 65 som granskades en it-tekniker som kan nås utanför kontorstid.

91 År 2012 godkände styrelsen en servicenivåavtalsmodell i syfte att finansiera CERT-EU:s verksamhet. Samtliga avtalsparter har kostnadsfri tillgång till grundläggande tjänster och kan betala för att få tillgång till fler tjänster genom att sluta ett servicenivåavtal. CERT-EU:s budget för 2020 var på 3 745 000 euro, av vilka 6 % kom från EU:s budget och 94 % från servicenivåavtal. Avtalsparterna är dock mycket heterogena: några har mogna it-säkerhetskrav medan andra har blygsamma it-budgetar och en mycket låg nivå av cybersäkerhetsmognad. På grund av detta leder diskussioner om servicenivåavtal till en kombination av högt ställda säkerhetskrav för en del av EU:s institutioner, organ och byråer och en relativ bristande vilja eller förmåga att bidra hos andra.

92 Vidare måste servicenivåavtalen förnyas var för sig varje år. Förutom att det är en administrativ börda skapar det även kassaflödesproblem, eftersom CERT-EU inte får in medel samtidigt via alla servicenivåavtal. Dessutom kan byråerna säga upp servicenivåavtal när som helst. Det riskerar att leda till en ond cirkel där CERT-EU, på grund av förlorade intäkter, måste skära ned på tjänsterna och inte kan hålla jämna steg med efterfrågan, vilket i sin tur leder till att andra institutioner, organ och byråer säger upp servicenivåavtalen och vänder sig till privata leverantörer. Mot bakgrund av dessa överväganden är den nuvarande finansieringsmodellen inte idealisk för att säkerställa en stabil och optimal tjänstenivå.

93 Med tanke på den snabbt föränderliga hotbilden mot cybersäkerheten (se punkterna 06 och 80) ställde sig CERT-EU:s styrelse, vid sitt möte den 19 februari 2020, bakom ett strategiskt förslag om att bredda CERT-EU:s cybersäkerhetstjänster och utveckla fullständig operativ kapacitet. Förslaget åtföljdes av en analys av CERT-EU:s personal- och finansieringsbehov. I analysen drogs slutsatsen att CERT-EU skulle behöva ytterligare 14 fasta handläggartjänster som tillkommer stegvis under perioden 2021–2023. CERT-EU ska sedan bedriva verksamheten med full kapacitet från och med 2023. När det gäller finansiering skulle CERT-EU enligt förslaget behöva utöka budgeten med 7,6 miljoner euro under perioden 2021–2023 för att uppnå 11,3 miljoner euro 2024.

94 Trots att EU:s institutioner, organ och byråer ställer sig bakom det strategiska förslaget om tillhandahållande av ytterligare resurser till CERT-EU har de dock ännu inte nått en överenskommelse om de praktiska villkoren. För det första gäller det övergångsperioden 2021–2023 och för det andra villkoren på längre sikt efter det att den framtida förordningen om cybersäkerhet trätt i kraft (se punkt 12).

Slutsatser och rekommendationer

95 Vi drog slutsatsen att EU:s institutioner, organ och byråer inte har uppnått en cyberberedskap som står i proportion till hoten. Vårt arbete visar att EU:s institutioner, organ och byråer har olika nivåer av cybersäkerhetsmognad, och eftersom de ofta är sammanlänkade med varandra och med offentliga och privata organisationer i medlemsstaterna kan svagheter hos enskilda institutioner, organ och byråer innebära cyberhot för flera andra organisationer.

96 Vi konstaterade att central god praxis när det gäller cybersäkerhet inte alltid genomfördes, däribland vissa viktiga kontroller. Sund förvaltning av cybersäkerheten är avgörande för informations- och it-systemens säkerhet, men har ännu inte införts vid vissa av EU:s institutioner, organ och byråer: it-säkerhetsstrategier och it-säkerhetsplaner saknas i många fall eller stöds inte av den högre ledningen, säkerhetsstrategierna är inte alltid formaliserade och riskbedömningarna omfattar inte hela it-miljön. Cybersäkerhetsutgifterna är ojämna: några av EU:s institutioner, organ och byråer avsätter helt klart för lite medel jämfört med andra av liknande storlek (se punkterna 2133, 37 och 38).

97 Cybermedvetenhet och utbildningsprogram är en avgörande del av en ändamålsenlig cybersäkerhetsram. Det är dock bara 29 % av EU:s institutioner, organ och byråer som tillhandahåller obligatorisk cybersäkerhetsutbildning för chefer med ansvar för it-system som innehåller känslig information, och den utbildning som erbjuds är ofta informell. Under de senaste fem åren har 55 % av EU:s institutioner, organ och byråer anordnat en eller flera simulerade nätfiskekampanjer (eller liknande övningar). Dessa övningar är ett viktigt verktyg för att utbilda personal och öka medvetenheten, men det är inte alla institutioner, organ och byråer som använder dem systematiskt (se punkterna 3436). Dessutom låter inte alla institutioner, organ och byråer regelbundet genomföra en oberoende certifiering av cybersäkerheten (se punkterna 3944).

98 CERT-EU värderas högt av de institutioner, organ och byråer som drar nytta av tjänsterna, men organisationens kapacitet är överbelastad. När det gäller underrättelser om hot och incidenthantering har arbetsbördan ökat snabbt sedan 2018. Betydande cybersäkerhetsincidenter har mer än tiodubblats. Samtidigt delar inte EU:s institutioner, organ och byråer alltid aktuell information om betydande incidenter, sårbarheter och viktiga förändringar i it-infrastrukturen. Detta motverkar CERT-EU:s ändamålsenlighet och hindrar organisationen från att varna andra institutioner, organ och byråer som eventuellt påverkas samt kan resultera i att betydande incidenter inte upptäcks. Dessutom är CERT-EU:s resurser instabila och står för närvarande inte i proportion till den nuvarande hotnivån eller behoven hos EU:s institutioner, organ och byråer. Ett strategiskt förslag om tillhandahållande av de ytterligare resurser som CERT-EU behöver godkändes av dess styrelse 2020, men avtalsparterna har ännu inte nått en överenskommelse om de praktiska villkoren för att tillhandahålla sådana resurser. Till följd av detta kan inte personalen vid CERT-EU hålla jämna steg med efterfrågan och tvingas skära ned på verksamheten (se punkterna 7493).

Rekommendation 1 – Förbättra cybersäkerhetsberedskapen hos EU:s samtliga institutioner, organ och byråer med hjälp av gemensamma bindande regler och ökade resurser till CERT-EU

Kommissionen bör inbegripa följande principer i sitt kommande förslag till förordning om åtgärder för en hög gemensam cybersäkerhetsnivå vid alla EU:s institutioner, organ och byråer:

  1. Den högsta ledningen ska bära ansvaret för förvaltningen av cybersäkerheten genom att anta cybersäkerhetsstrategier och centrala säkerhetsstrategier samt utse en oberoende säkerhetsansvarig för informationssystemen (eller motsvarande).
  2. EU:s institutioner, organ och byråer ska ha en ram för hantering av it-säkerhetsrisker som omfattar hela it-infrastrukturen och genomföra regelbundna riskbedömningar.
  3. EU:s institutioner, organ och byråer ska erbjuda systematisk medvetenhetshöjande utbildning för all personal, inklusive ledningen.
  4. EU:s institutioner, organ och byråer ska säkerställa regelbundna revisioner och tester av cyberförsvaret. I samband med revisionerna ska man även undersöka om tillräckliga resurser avsätts till cybersäkerhet.
  5. EU:s institutioner, organ och byråer ska utan dröjsmål rapportera betydande cybersäkerhetsincidenter och relevanta förändringar och sårbarheter som rör deras it-infrastruktur till CERT-EU.
  6. EU:s institutioner, organ och byråer ska i sina budgetar öka och öronmärka de resurser som tilldelas CERT-EU i linje med de behov som identifierats i det strategiska förslag som godkänts av dess styrelse.
  7. Förordningen ska innehålla bestämmelser om att utse en enhet som företräder alla EU:s institutioner, organ och byråer och har de befogenheter och medel som krävs för att övervaka att alla institutioner, organ och byråer efterlever de gemensamma cybersäkerhetsreglerna samt utfärdar vägledning, rekommendationer och uppmaningar till handling.

Måldatum för genomförande: Första kvartalet 2023.

99 EU:s institutioner, organ och byråer har inrättat mekanismer för samarbete på cybersäkerhetsområdet, men vi noterade att potentiella synergieffekter inte utnyttjas fullt ut. Det finns en formaliserad struktur för informationsutbyte, där aktörer och kommittéer har kompletterande roller. Mindre institutioners, organs och byråers deltagande i interinstitutionella forum hindras dock av begränsade resurser, och de decentraliserade byråernas och gemensamma företagens representation i CERT-EU:s styrelse är inte optimal. Vi konstaterade även att EU:s institutioner, organ och byråer inte systematiskt delar information om cybersäkerhetsrelaterade projekt, säkerhetsbedömningar och andra tjänsteavtal med varandra. Det kan leda till dubbelarbete och ökade kostnader. Vi noterade operativa svårigheter i samband med utbytet av känslig icke-säkerhetsskyddsklassificerad information via krypterade e-postmeddelanden och videokonferenser på grund av bristande interoperabilitet mellan it-lösningar, inkonsekventa riktlinjer om tillåten användning och avsaknad av gemensamma informationsmarkeringar och hanteringsregler (se punkterna 4563).

Rekommendation 2 – Förorda ytterligare synergieffekter bland EU:s institutioner, organ och byråer på utvalda områden

Kommissionen bör, inom ramen för den interinstitutionella kommittén för digital omställning, främja följande åtgärder bland EU:s institutioner, organ och byråer:

  1. Anta lösningar för interoperabla säkra kommunikationskanaler, från krypterade e-postmeddelanden till videokonferenser, och förorda gemensamma markeringar och gemensamma hanteringsregler för känslig icke-säkerhetsskyddsklassificerad information.
  2. Systematiskt dela information om cybersäkerhetsrelaterade projekt som kan ha en potentiell interinstitutionell inverkan, genomförda säkerhetsbedömningar av programvara och gällande avtal med externa leverantörer.
  3. Fastställa specifikationer för gemensam upphandling och gemensamma ramavtal för cybersäkerhetstjänster där alla EU:s institutioner, organ och byråer kan delta för att främja stordriftsfördelar.

Måldatum för genomförande: Fjärde kvartalet 2023.

100 Europeiska unionens cybersäkerhetsbyrå (Enisa) och CERT-EU är de två huvudsakliga enheter som har i uppdrag att stödja EU:s institutioner, organ och byråer på området cybersäkerhet. På grund av begränsade resurser och det faktum att andra områden har prioriterats har de dock inte kunnat ge EU:s institutioner, organ och byråer allt det stöd de behöver, i synnerhet när det gäller kapacitetsuppbyggnad för de institutioner, organ och byråer som är mindre mogna ur ett cybersäkerhetsperspektiv (se punkterna 6493).

Rekommendation 3 – Öka CERT-EU:s och Enisas fokus på de institutioner, organ och byråer som är mindre mogna

CERT-EU och Enisa bör göra följande:

  1. Identifiera prioriterade områden där EU:s institutioner, organ och byråer behöver mest stöd, exempelvis genom mognadsbedömningar.
  2. Genomföra kapacitetsuppbyggande åtgärder i linje med samförståndsavtalet.

Måldatum för genomförande: Fjärde kvartalet 2022.

Denna rapport antogs av revisionsrättens avdelning III, med ledamoten Bettina Jakobsen som ordförande, i Luxemburg den 22 februari 2022.

 

För revisionsrätten

Klaus-Heiner Lehne
ordförande

Bilagor

Bilaga I – Förteckning över de EU-institutioner, EU-organ och EU-byråer som har granskats

Namn på institutionen, organet eller byrån Typ
Europaparlamentet Institution (art. 13.1 i EU-fördraget)
Europeiska unionens råd och Europeiska rådet (generalsekretariatet) Institution (art. 13.1 i EU-fördraget)
Europeiska kommissionen Institution (art. 13.1 i EU-fördraget)
Europeiska unionens domstol Institution (art. 13.1 i EU-fördraget)
Europeiska centralbanken (ECB) Institution (art. 13.1 i EU-fördraget)
Europeiska revisionsrätten Institution (art. 13.1 i EU-fördraget)
Europeiska utrikestjänsten Organ (art. 27.3 i EU-fördraget)
Europeiska ekonomiska och sociala kommittén (EESK) och Europeiska regionkommittén (ReK)37 Organ (art. 13.4 i EU-fördraget)
Europeiska investeringsbanken (EIB) Organ (art. 308 i EUF-fördraget)
Europeiska arbetsmyndigheten Decentraliserad byrå
Europeiska unionens byrå för samarbete mellan energitillsynsmyndigheter (Acer) Decentraliserad byrå
Byrån för Organet för europeiska regleringsmyndigheter för elektronisk kommunikation (Berecbyrån) Decentraliserad byrå
Gemenskapens växtsortsmyndighet (CPVO) Decentraliserad byrå
Europeiska arbetsmiljöbyrån (EU-Osha) Decentraliserad byrå
Europeiska gräns- och kustbevakningsbyrån (Frontex) Decentraliserad byrå
Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-Lisa) Decentraliserad byrå
Europeiska unionens asylbyrå Decentraliserad byrå
Europeiska unionens byrå för luftfartssäkerhet (Easa) Decentraliserad byrå
Europeiska bankmyndigheten (EBA) Decentraliserad byrå
Europeiska centrumet för förebyggande och kontroll av sjukdomar (ECDC) Decentraliserad byrå
Europeiska centrumet för utveckling av yrkesutbildning (Cedefop) Decentraliserad byrå
Europeiska kemikaliemyndigheten (Echa) Decentraliserad byrå
Europeiska miljöbyrån (EEA) Decentraliserad byrå
Europeiska fiskerikontrollbyrån (EFCA) Decentraliserad byrå
Europeiska myndigheten för livsmedelssäkerhet (Efsa) Decentraliserad byrå
Europeiska fonden för förbättring av levnads- och arbetsvillkor (Eurofound) Decentraliserad byrå
Europeiska unionens rymdprogrambyrå [ska ersätta Europeiska byrån för GNSS – GSA] (EUSPA) Decentraliserad byrå
Europeiska jämställdhetsinstitutet (EIGE) Decentraliserad byrå
Europeiska försäkrings- och tjänstepensionsmyndigheten (Eiopa) Decentraliserad byrå
Europeiska sjösäkerhetsbyrån (Emsa) Decentraliserad byrå
Europeiska läkemedelsmyndigheten (EMA) Decentraliserad byrå
Europeiska centrumet för kontroll av narkotika och narkotikamissbruk (ECNN) Decentraliserad byrå
Europeiska unionens cybersäkerhetsbyrå (Enisa) Decentraliserad byrå
Europeiska unionens byrå för utbildning av tjänstemän inom brottsbekämpning (Cepol) Decentraliserad byrå
Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) Decentraliserad byrå
Europeiska unionens järnvägsbyrå (ERA) Decentraliserad byrå
Europeiska värdepappers- och marknadsmyndigheten (Esma) Decentraliserad byrå
Europeiska yrkesutbildningsstiftelsen (ETF) Decentraliserad byrå
Europeiska unionens byrå för grundläggande rättigheter (FRA) Decentraliserad byrå
Europeiska unionens immaterialrättsmyndighet [hette KHIM fram till den 23 mars 2016] (EUIPO) Decentraliserad byrå
Gemensamma resolutionsnämnden (SRB) Decentraliserad byrå
Europeiska unionens byrå för straffrättsligt samarbete (Eurojust) Decentraliserad byrå
Översättningscentrum för Europeiska unionens organ (CdT) Decentraliserad byrå
Europeiska åklagarmyndigheten (Eppo) Decentraliserad byrå
Europeiska institutet för innovation och teknik (EIT) Organ som inrättats inom ramen för FoI
Gemensamma företaget Sesar Gemensamt företag enligt EUF-fördraget
Gemensamma företaget Ecsel Gemensamt företag enligt EUF-fördraget
Gemensamma företaget för bränsleceller och vätgas 2 (FCH 2) Gemensamt företag enligt EUF-fördraget
Gemensamma företaget för initiativet för innovativa läkemedel 2 (IMI 2) Gemensamt företag enligt EUF-fördraget
Gemensamma företaget Clean Sky 2 Gemensamt företag enligt EUF-fördraget
Gemensamma företaget för biobaserade industrier (gemensamma företaget BBI) Gemensamt företag enligt EUF-fördraget
Gemensamma företaget Shift2Rail Gemensamt företag enligt EUF-fördraget
Gemensamma företaget för ett europeiskt högpresterande datorsystem (gemensamma företaget EuroHPC) Gemensamt företag enligt EUF-fördraget
Gemensamma företaget Fusion for Energy (F4E) Gemensamt företag enligt EUF-fördraget
Europeiska unionens rådgivande uppdrag för reform av den civila säkerhetssektorn i Ukraina (EUAM Ukraina) Civilt uppdrag (GSFP)
Europeiska unionens integrerade gränsförvaltningsuppdrag i Libyen (EU BAM Libyen) Civilt uppdrag (GSFP)
Europeiska unionens uppdrag för kapacitetsuppbyggnad i Niger (Eucap Sahel Niger) Civilt uppdrag (GSFP)
Europeiska unionens övervakningsuppdrag i Georgien (EUMM Georgia) Civilt uppdrag (GSFP)
Europeiska unionens polisuppdrag för de palestinska territorierna (Eupol Copps) Civilt uppdrag (GSFP)
Europeiska unionens rådgivande uppdrag i Centralafrikanska republiken (EUAM RCA) Civilt uppdrag (GSFP)
Europeiska unionens rådgivande uppdrag till stöd för reform av säkerhetssektorn i Irak (EUAM Irak) Civilt uppdrag (GSFP)
Europeiska unionens gränsövervakningsuppdrag för gränsövergångsstället i Rafah (EU BAM Rafah) Civilt uppdrag (GSFP)
Europeiska unionens uppdrag för kapacitetsuppbyggnad i Mali (Eucap Sahel Mali) Civilt uppdrag (GSFP)
Europeiska unionens uppdrag för kapacitetsuppbyggnad i Somalia (Eucap Somalia) Civilt uppdrag (GSFP)
Europeiska unionens rättsstatsuppdrag i Kosovo (Eulex Kosovo) Civilt uppdrag (GSFP)

Bilaga II – Ytterligare information om de huvudsakliga interinstitutionella kommittéerna

Interinstitutionella kommittén för digital omställning (ICDT)

Den interinstitutionella kommittén för digital omställning är ett forum för att utbyta information och främja samarbete inom it. Den inrättades i maj 2020 och ersatte den tidigare kommittén ”Comité Interinstitutionnel de l’Informatique”. Kommittén består av cheferna för it-avdelningarna vid EU:s institutioner, organ och byråer. Den har en undergrupp för cybersäkerhet (ICDT CSSG) som har i uppdrag att främja cybersäkerhetssamarbetet mellan EU:s institutioner, organ och byråer och att fungera som ett forum för informationsutbyte.

Kommitténs beslutsbefogenheter är begränsade till frågor som inte påverkar institutionernas sätt att genomföra sina uppdrag och inte inkräktar på förvaltningen vid någon institution. När det gäller beslut som ligger bortom mandatet kan kommittén lämna rekommendationer till kollegiet för generalsekreterarna vid EU:s institutioner och organ.

Enligt mandatet företräds kommittén av en ledamot från varje EU-institution och EU-organ och en företrädare som utses av EU:s byråer (den rådgivande kommittén för IKT). Rådets generalsekretariat innehar för närvarande ordförandeskapet i kommittén.

Undergruppen för cybersäkerhet vid den interinstitutionella kommittén för digital omställning (ICDT CSSG)

Undergruppen för cybersäkerhet inrättades i sin nuvarande form i september 2020 och ersatte den tidigare kommitténs permanenta säkerhetsundergrupp. Jämfört med föregångaren har undergruppen för cybersäkerhet ett mer strukturerat, ambitiöst och resultatinriktat upplägg. Verksamheterna genomförs av arbetsgrupper som sammanträder regelbundet och fokuserar på centrala gemensamma frågor:

  • Arbetsgrupp 1: gemensamma standarder, riktmärkning och mognad.
  • Arbetsgrupp 2: delningsplattformar, metoder, verktyg och avtal.
  • Arbetsgrupp 3: molnsäkerhet.
  • Arbetsgrupp 4: utveckling av cyberfärdigheter och cybertalanger.
  • Arbetsgrupp 5: cybermedvetenhet.
  • Arbetsgrupp 6: säkerhet vid videokonferenser.

Enligt undergruppens mandat bär dess sekretariat ansvaret för att regelbundet övervaka och rapportera om framstegen med arbetsgruppernas verksamheter. Det lämnar regelbundet rapporter till ordföranden och vice ordföranden vid undergruppen för cybersäkerhet och samlar regelbundet in input från arbetsgruppernas samordnare. I slutet av varje år måste undergruppen även lägga fram en sammanfattande verksamhetsrapport.

Kommissionen innehar för närvarande ordförandeskapet i undergruppen, och en representant för den rådgivande kommittén för IKT är vice ordförande. Trots att undergruppen inte har någon beslutsfattande befogenhet kan den rekommendera beslut i relevanta frågor till den interinstitutionella kommittén för digital omställning.

Byrånätverket

EU-byråernas nätverk är ett informellt nätverk som inrättades av cheferna för EU:s byråer 2012. EU-byråernas nätverk består för närvarande av 48 decentraliserade EU-byråer och gemensamma företag. Syftet är att tillhandahålla en plattform för utbyte och samarbete kring områden av gemensamt intresse för nätverkets medlemmar. Den rådgivande kommittén för IKT (ICTAC) är den nätverksundergrupp som bär ansvaret för att främja samarbete på IKT-området, däribland cybersäkerhet.

Rådgivande kommittén för informations- och kommunikationsteknik (ICTAC)

Rådgivande kommittén för informations- och kommunikationsteknik främjar samarbete bland byråer och gemensamma företag på IKT-området. Kommittén har som mål att hitta hållbara och ekonomiska lösningar på gemensamma problem, utbyta information och anta gemensamma ståndpunkter, när så är lämpligt. Enligt kommitténs mandat ska allmänna möten med samtliga medlemmar äga rum två gånger per år. Det anordnas även regelbundna månatliga möten mellan kommitténs företrädare i undergruppens arbetsgrupper, dess företrädare i undergruppen och dess ”trojka”. Trojkan består av kommitténs nuvarande, föregående och nästkommande ordförande (varje ordförande tjänstgör under en ettårsperiod). Trojkans uppgift är att stödja den sittande ordföranden i alla frågor som rör hans eller hennes roll, inklusive hans eller hennes ersättare om så krävs.

Akronymer och förkortningar

CERT-EU: incidenthanteringsorganisationen för EU:s institutioner och byråer.

CSIRT: it-incidentcentrum (enhet för hantering av it-säkerhetsincidenter).

Enisa: Europeiska unionens cybersäkerhetsbyrå.

EUAN: EU-byråernas nätverk.

eu-Lisa: Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa.

GD Informationsteknik: Europeiska kommissionens generaldirektorat för informationsteknik.

GD Personal och säkerhet: Europeiska kommissionens generaldirektorat för personal och säkerhet.

ICDT CSSG: undergruppen för cybersäkerhet vid den interinstitutionella kommittén för digital omställning.

ICDT: interinstitutionella kommittén för digital omställning.

ICTAC: rådgivande kommittén för informations- och kommunikationsteknik.

IKT: informations- och kommunikationsteknik.

ISACA: Information Systems Audit and Control Association.

ITCB: styrelsen för informationsteknik och cybersäkerhet.

Ordförklaringar

avancerat långvarigt hot: attack under vilken en obehörig användare får åtkomst till ett system eller ett nätverk för att stjäla känsliga uppgifter och stannar kvar där en längre tidsperiod.

cyberrymden: den globala miljön online där människor, programvaror och tjänster kommunicerar via datornätverk och andra uppkopplade enheter.

cyberspionage: handling eller strategi för att komma åt hemligheter eller uppgifter från internet, nätverk eller enskilda datorer utan tillstånd från uppgiftsinnehavaren och utan hans eller hennes vetskap.

cybersäkerhet: åtgärder för att skydda it-nätverk och it-infrastruktur, och den information de innehåller, från externa hot.

incidenthanteringsorganisationen för EU:s institutioner och byråer: samordningscentrum för informationsutbyte och incidenthantering på cybersäkerhetsområdet vars kunder (avtalsparter) är EU:s institutioner, organ och byråer.

nätfiske: att skicka e-postmeddelanden som utger sig för att komma från en tillförlitlig källa i syfte att lura mottagarna att öppna skadliga länkar eller dela personuppgifter.

penetrationstest: metod för att bedöma ett it-systems säkerhet genom att försöka ta sig igenom säkerhetsskyddet med hjälp av de verktyg och tekniker som vanligtvis används av fiender.

red teaming: realistisk simulering av cyberattacker med hjälp av ett överraskningsmoment och tekniker som nyligen observerats i verkligheten, med fokus på särskilda mål genom flera angreppsstrategier.

social manipulering: inom informationssäkerhet innebär det psykologisk manipulering för att lura människor att göra någonting eller dela konfidentiell information.

Slutnoter

1 Förordning (EU) 2019/881.

2 ISO/IEC 27000:2018.

3 Revisionsrättens översikt 02/2019 Utmaningar för en ändamålsenlig EU politik för cybersäkerhet (Briefingdokument).

4 CERT-EU, Threat Landscape Report, juni 2021.

5 Ibid.

6 Ibid.

7 Ibid.

8 Cyberattack on EMA – update 6, 25 januari 2021.

9 Punkt 01 i revisionsrättens särskilda rapport 22/2020 EU-byråernas framtid – potential för mer flexibilitet och samarbete.

10 EUT C 12, 13.1.2018, s. 1.

11 Enisa, Threat Landscape 2020, Sectoral/thematic threat analysis.

12 Direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

13 Förslag till direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen.

14 COM(2020) 605 final.

15 JOIN(2020) 18 final.

16 ISACA, Certified Information System Auditor review manual, 2019.

17 Communication to the Commission, European Commission digital Strategy: A digitally transformed, user-focused and data-driven Commission, C(2018) 7118 final, 21.11.2018.

18 ISO/IEC-standard 27000:2018, kapitel 5.

19 COBIT 5 for Information Security, avsnitt 4.2.

20 Se t.ex. ISO/IEC 27000:2018, avsnitt 4.5.

21 Enisa, Threat Landscape 2020, Sectoral/Thematic threat analysis.

22 En uppsättning kontroller som hämtats från CIS Controls 7.1, en ram för bästa praxis som tagits fram av Centre for Internet Security.

23 Genomförandegrupp 1 (IG1) inom CIS Controls.

24 ISACA, Auditing Cyber Security: Evaluating Risk and Auditing Controls, 2017.

25 Beslut 2017/46 om säkerheten i Europeiska kommissionens kommunikations- och informationssystem.

26 Artikel 7 i det interinstitutionella avtal som undertecknades den 20 december 2017.

27 Europeiska kommissionen, The European Commission Cloud Strategy, 2019.

28 Enisas uppgifter förtecknas i kapitel II (artiklarna 5–12) i förordning (EU) 2019/881.

29 Europaparlamentets och rådets förordning (EU) nr 526/2013. Se artikel 3 om Enisas uppgifter enligt förordningen.

30 Artikel 6 i förordning (EU) 2019/881.

31 Artikel 14 i cybersäkerhetsakten.

32 Artikel 18 i cybersäkerhetsakten.

33 Pressmeddelande från Europeiska kommissionen: Stärkt it-säkerhet på EU-institutionerna efter lyckat pilotförsök.

34 Artikel 3.3 i det interinstitutionella avtal som undertecknades den 20 december 2017.

35 Artikel 3.2 i det interinstitutionella avtalet.

36 Skäl 7 i det interinstitutionella avtalet.

37 EESK och ReK räknas som ett organ.

Kontakt

EUROPEISKA REVISIONSRÄTTEN
12, rue Alcide De Gasperi
1615 Luxemburg
LUXEMBURG

Tfn +352 4398-1
Frågor: eca.europa.eu/sv/Pages/ContactForm.aspx
Webbplats: eca.europa.eu
Twitter: @EUAuditors

En stor mängd övrig information om Europeiska unionen är tillgänglig på internet via Europa-servern (https://europa.eu).

Luxemburg: Europeiska unionens publikationsbyrå, 2022

PDF ISBN 978-92-847-7576-7 ISSN 1977-5830 doi:10.2865/82023 QJ-AB-22-003-SV-N
HTML ISBN 978-92-847-7579-8 ISSN 1977-5830 doi:10.2865/870282 QJ-AB-22-003-SV-Q

UPPHOVSRÄTT

© Europeiska unionen, 2022

Europeiska revisionsrättens policy för vidareutnyttjande av handlingar fastställs i Europeiska revisionsrättens beslut nr 6-2019 om öppen datapolitik och vidareutnyttjande av handlingar.

Om inget annat anges (t.ex. i enskilda meddelanden om upphovsrätt) omfattas revisionsrättens innehåll som ägs av EU av den internationella licensen Creative Commons Erkännande 4.0 Internationell (CC BY 4.0). Det innebär att det är tillåtet att återanvända innehållet under förutsättning att ursprunget anges korrekt och att det framgår om ändringar har gjorts. Om du återanvänder revisionsrättens innehåll får du inte förvanska den ursprungliga innebörden eller det ursprungliga budskapet. Revisionsrätten ansvarar inte för eventuella konsekvenser av återanvändningen.

När enskilda privatpersoner kan identifieras i ett specifikt sammanhang, exempelvis på bilder av revisionsrättens personal, eller om verk av tredje part används, måste ytterligare tillstånd inhämtas.

Om ett sådant tillstånd beviljas upphävs och ersätts det allmänna godkännande som nämns ovan, och eventuella begränsningar av materialets användning måste tydligt anges.

För användning eller återgivning av innehåll som inte ägs av EU kan tillstånd behöva inhämtas direkt från upphovsrättsinnehavarna.

Programvara eller handlingar som omfattas av immateriella rättigheter, till exempel patent, varumärkesskydd, mönsterskydd samt upphovsrätt till logotyper eller namn, omfattas inte av revisionsrättens policy för vidareutnyttjande.

EU-institutionernas webbplatser inom domänen europa.eu innehåller länkar till webbplatser utanför den domänen. Eftersom revisionsrätten inte har någon kontroll över dem uppmanas du att ta reda på vilken integritets- och upphovsrättspolicy de tillämpar.

Användning av revisionsrättens logotyp

Revisionsrättens logotyp får inte användas utan revisionsrättens förhandsgodkännande.

Kontakta EU

Besök
Det finns hundratals Europa direkt-kontor i hela EU. Hitta ditt närmaste kontor: https://europa.eu/european-union/contact_sv

Telefon eller mejl
Tjänsten Europa direkt svarar på dina frågor om EU. Kontakta tjänsten på något av följande sätt:

  • Ring det avgiftsfria telefonnumret 00 800 6 7 8 9 10 11 (en del operatörer kan ta betalt för samtalet).
  • Ring telefonnumret +32 22999696.
  • Mejla via webbplatsen (https://europa.eu/european-union/contact_sv).

EU-information

På nätet
På webbplatsen Europa finns det information om EU på alla officiella EU-språk (https://europa.eu/european-union/index_sv).

EU-publikationer
Ladda ned eller beställ både gratis och avgiftsbelagda EU-publikationer (https://op.europa.eu/sv/publications). Om du behöver flera kopior av en gratispublikation kan du kontakta Europa direkt eller ditt lokala informationskontor (https://europa.eu/european-union/contact_sv).

EU-lagstiftning och andra rättsliga handlingar
Rättsliga handlingar från EU, inklusive all EU-lagstiftning sedan 1951, finns på alla officiella EU-språk på EUR-Lex (http://eur-lex.europa.eu).

Öppna data från EU
På EU:s portal för öppna data (http://data.europa.eu/sv) finns dataserier från EU. Dataserierna får laddas ned och användas fritt för kommersiella och andra ändamål.