Η νομοθετική πρωτοβουλία για την Ευρωπαϊκή αλληλεγγύη στον κυβερνοχώρο παρουσιάστηκε για πρώτη φορά την Τρίτη (28 Φεβρουαρίου) στην επικαιροποιημένη έκδοση του προγράμματος εργασίας της Ευρωπαϊκής Επιτροπής, αλλά προετοιμάζεται εδώ και ένα χρόνο. Τι ακριβώς να περιμένουμε.
Τον Μάρτιο του 2022, εν μέσω του ρωσικού πολέμου στην Ουκρανία, οι Υπουργοί της ΕΕ συγκεντρώθηκαν στο Νεβέρ της Γαλλίας και συζήτησαν για πρώτη φορά την ιδέα της ενίσχυσης της ικανότητας των ευρωπαϊκών χωρών να αντιμετωπίζουν κυβερνοεπιθέσεις μεγάλης κλίμακας.
Η τότε Γαλλική Προεδρία πρότεινε τη δημιουργία ενός Ταμείου έκτακτης ανάγκης για την κυβερνοασφάλεια, προσβάσιμο στις εθνικές κυβερνήσεις, για την πρόσληψη αξιόπιστων εταιρειών κυβερνοασφάλειας ώστε να προχωρούν στη διενέργεια ελέγχων και την αντιμετώπιση περιστατικών.
Το Ταμείο αυτό είναι η προϋπόθεση της Πράξης Αλληλεγγύης στον Κυβερνοχώρο, ένα σχέδιο κανονισμού που αναμένεται να παρουσιάσει η Επιτροπή στις 5 Απριλίου. Σύμφωνα με πηγή ενημερωμένη επί του θέματος, το προτεινόμενο μοντέλο ακολουθεί την προσέγγιση της Ουκρανίας, με βάση το οποίο τόσο δημόσιοι φορείς, όσο και ιδιωτικές εταιρείες συνεργάζονται για τη διασφάλιση της ασφάλειας στον κυβερνοχώρο.
Αποθεματικό για τον Κυβερνοχώρο
Η ιδέα για την άμυνα της ΕΕ στον κυβερνοχώρο μετονομάστηκε σε ευρωπαϊκή πρωτοβουλία για την αλληλεγγύη στον κυβερνοχώρο και περιλαμβάνει το Ταμείο Έκτακτης Ανάγκης για την κυβερνοασφάλεια, που θα συζητήσουν τα κράτη μέλη. Σκοπός της πρωτοβουλίας είναι η δημιουργία ενός «αποθεματικού για τον κυβερνοχώρο» που θα αποτελείται από ιδιωτικούς αξιόπιστους παρόχους, οι οποίοι θα πληρούν τις προϋποθέσεις με πιστοποίηση και θα υποστηρίζουν την αντιμετώπιση σημαντικών ψηφιακών επιθέσεων.
Οι ευρωπαϊκές κυβερνήσεις αναμένεται να υιοθετήσουν μια κοινή Δήλωση για την ενίσχυση των ικανοτήτων της ΕΕ στον τομέα αυτό, συμπεριλαμβάνοντας την αύξηση της ευρωπαϊκής χρηματοδότησης για τη στήριξη των εθνικών προσπαθειών.
Τα κριτήρια για την επιλογή των αξιόπιστων παρόχων υπηρεσιών δεν είναι ακόμη γνωστά, αλλά οι δυνατότερες Ευρωπαϊκές εταιρείες στον τομέα της ασφάλειας όπως η Atos, η Thales, η WithSecure και η BitDefender είναι οι πιο πιθανοί υποψήφιοι. Το μεγάλο ερώτημα είναι αν αμερικανικές εταιρείες όπως η Microsoft θα έχουν επίσης πρόσβαση σε αυτό.
Δεδομένης της ευαισθησίας του θέματος και της πρόσφατης τάσης της Επιτροπής να προκρίνει τις ευρωπαϊκές εταιρείες στην πιστοποίηση της κυβερνοασφάλειας, είναι αναμενόμενοι κάποιοι περιορισμοί για τις ξένες εταιρείες -τουλάχιστον, ο αποκλεισμός εταιρειών που θεωρούνται πολύ κοντά σε εχθρικές δυνάμεις, όπως συνέβη με τη Huawei και την εργαλειοθήκη 5G.
Μια σημαντική ένδειξη για το πώς θα μπορούσε να διεξαχθεί το έργο είναι ένα πιλοτικό πρότζεκτ με την ονομασία «Trusted Partners Programme», πάνω στο οποίο εργάζεται από το περασμένο καλοκαίρι ο ENISA, ο οργανισμός της ΕΕ για την Ασφάλεια στον Κυβερνοχώρο.
Το πιλοτικό πρόγραμμα προκήρυξε δημόσιο διαγωνισμό αξίας 28 εκατομμυρίων ευρώ, χωρισμένο σε 28 μέρη, ένα για κάθε κράτος μέλος και ένα για το κοινό ευρωπαϊκό επίπεδο. Σε αρκετές χώρες, οι επιλέξιμοι υποψήφιοι πρέπει να έχουν λάβει εθνική, ΝΑΤΟϊκή ή ευρωπαϊκή άδεια ασφαλείας, πιστοποίηση ή διαπίστευση.
Πλαίσιο πολιτικής
Μέχρι τα τέλη Ιανουαρίου, η Επιτροπή δεν είχε ακόμη αποφασίσει αν η πρωτοβουλία απαιτεί νομοθέτηση, δήλωσε τότε εκπρόσωπος της Επιτροπής στη EURACTIV.
Η νέα νομοθετική πρόταση σε αυτό το προχωρημένο στάδιο της εντολής είναι βέβαιο ότι δεν θα αρέσει στο Συμβούλιο Υπουργών της ΕΕ, όπου οι εθνικοί εκπρόσωποι παραπονιούνται ότι έχουν ήδη διευρυμένες ικανότητες και επιθυμούν να επικεντρωθούν στην πράξη για την ανθεκτικότητα στον κυβερνοχώρο.
Σε εθνικό επίπεδο, οι χώρες της ΕΕ είναι επίσης απασχολημένες με την εφαρμογή της αναθεωρημένης Οδηγίας για την ασφάλεια δικτύων και πληροφοριών (NIS2) και την ανθεκτικότητα των κρίσιμων οντοτήτων, καθώς και με την υλοποίηση των περιφερειακών κέντρων επιχειρήσεων ασφαλείας (SOC), για τα οποία η πρόσκληση για χρηματοδότηση ολοκληρώθηκε πριν από δύο εβδομάδες.
Το όραμα της Επιτροπής είναι ότι τα περιφερειακά SOC θα είναι ομοσπονδιακά για την ανταλλαγή πληροφοριών σχετικά με τις απειλές σε επίπεδο ΕΕ και τη δημιουργία μιας «ασπίδας στον κυβερνοχώρο». Η Πρωτοβουλία «Αλληλεγγύη στον κυβερνοχώρο» πρόκειται να δημιουργήσει τη βασική Ευρωπαϊκή Υποδομή Εντοπισμού.
Ένα άλλο πολιτικό ερώτημα είναι αν η Επιτροπή θα προσπαθήσει να επιβάλει την ανταλλαγή πληροφοριών σχετικά με απειλές, ένα μέτρο στο οποίο αντιτίθενται οι χώρες της ΕΕ, καθώς αυτές ενδέχεται να περιέχουν ευαίσθητες πληροφορίες που θα μπορούσαν να θέσουν σε κίνδυνο την εθνική ασφάλεια, αν πέσουν σε λάθος χέρια.
Όμως ο πραγματικός λόγος για μια νομοθετική πρόταση είναι ότι δεν υπάρχει νομικό πλαίσιο για τη διάθεση αυτής της χρηματοδότησης, επιβεβαίωσε εκπρόσωπος της Επιτροπής στη EURACTIV.
Πρόσφατο προηγούμενο αποτελεί η Ευρωπαϊκή Πράξη για τα Μικροκυκλώματα (Chips), η οποία καθόρισε υπό ποιες προϋποθέσεις μπορούν να λάβουν κρατική ενίσχυση οι εταιρείες που συμβάλλουν στην ενίσχυση της ευρωπαϊκής ικανότητας παραγωγής ημιαγωγών.
Οι οργανισμοί που πρόκειται να είναι επιλέξιμοι για να λάβουν την υποστήριξη των αξιόπιστων προμηθευτών είναι οι κρίσιμες οντότητες που προσδιορίζονται στο πλαίσιο της NIS2. Ωστόσο, η επιφόρτιση των χωρών της ΕΕ με τη διανομή της χρηματοδότησης ενδέχεται να έρχεται σε αντίθεση με τους κανόνες της ΕΕ για τις κρατικές ενισχύσεις.
Ωστόσο, το ζήτημα της διακυβέρνησης είναι μάλλον ευαίσθητο, καθώς επιφέρει τον ρόλο του Ευρωπαϊκού Κέντρου Επάρκειας για την Κυβερνοασφάλεια.
Διακυβέρνηση
Ο οργανισμός της ΕΕ ιδρύθηκε το 2021 ακριβώς για να ενισχύσει την ικανότητα της Ευρώπης στον τομέα της κυβερνοασφάλειας. Ωστόσο, η Επιτροπή ήλπιζε να διατηρήσει το Κέντρο Αρμοδιότητας στις Βρυξέλλες υπό την προστασία της, αλλά η Ρουμανία κατάφερε να αποκτήσει τον πρώτο της ευρωπαϊκό θεσμό στο Βουκουρέστι.
Όπως αποκάλυψε η EURACTIV τον περασμένο Απρίλιο, η Επιτροπή καθυστέρησε τον διορισμό του νέου εκτελεστικού διευθυντή του Κέντρου, προκειμένου να τον διατηρήσει υπό την προστασία της. Δύο χρόνια μετά την ίδρυσή του, ο Ευρωπαϊκός οργανισμός εξακολουθεί να μην έχει την ανώτατη θέση του και να είναι σοβαρά υποστελεχωμένος.
Ωστόσο, η Επιτροπή είναι απρόθυμη να δώσει στο Κέντρο Αρμοδιότητας πλήρη ανεξαρτησία ακριβώς επειδή προορίζεται να διαχειρίζεται τη χρηματοδότηση της ΕΕ που προορίζεται για την ανάπτυξη ικανοτήτων στον τομέα της κυβερνοασφάλειας.
Με άλλα λόγια, ο αποκλεισμός του οργανισμού από την πρωτοβουλία θα απαξίωνε τον λόγο ύπαρξής του. Ταυτόχρονα, ο ENISA φαίνεται να είναι ο μόνος ικανός να τρέξει ένα τέτοιο έργο.
Προϋπολογισμός
Η χρηματοδότηση για την πρωτοβουλία αλληλεγγύης στον κυβερνοχώρο πρόκειται να προέλθει από το πρόγραμμα «Ψηφιακή Ευρώπη». Ωστόσο, όπως ακριβώς και η Ευρωπαϊκή Πράξη για τα Μικροκυκλώματα (Chips), τοc έργο πιθανότατα θα συγκρουστεί με τη σκληρή πραγματικότητα ενός ήδη διευρυμένου ευρωπαϊκού προϋπολογισμού και την απροθυμία των κρατών μελών να επενδύσουν πρόσθετους πόρους.
Είναι αξιοσημείωτο ότι η Πολιτική για την Άμυνα στον Κυβερνοχώρο προβλέπει αυτούς τους δημοσιονομικούς περιορισμούς, δηλώνοντας ότι «ενώ το πεδίο δράσης και η κατανομή του κόστους των συγκεκριμένων παρεμβάσεων θα εξαρτηθεί από τη διαθέσιμη ευρωπαϊκή χρηματοδότηση, η ΕΕ φροντίσει για τη διαθεσιμότητα και την ετοιμότητα ενός τέτοιου αποθεματικού σε επίπεδο ΕΕ».