ПІДТРИМКА ІМПЛЕМЕНТАЦІЇ ЗАКОНОДАВСТВА ЄС ЩОДО КІБЕЗПЕЗПЕКИ ТА НАЦІОНАЛЬНИХ СТРАТЕГІЙ

Очікуваний результат

• служби підтримки готовності

• послуги з оцінки загроз і ризиків

• послуги моніторингу ризиків

Ціль

Цей механізм має на меті доповнювати, а не дублювати зусилля держав-членів і на рівні Союзу щодо підвищення рівня захисту та стійкості до кіберзагроз, зокрема для великих промислових об’єктів та інфраструктур, шляхом надання допомоги державам-членам у їхніх зусиллях покращити готовність до кіберзагрози та інциденти, надаючи їм знання та досвід.

Сфера застосування

Надання послуг з підтримки готовності (попередньо) включає заходи, перелічені нижче, спрямовані, наприклад, на великі промислові установки чи інфраструктуру, операторів основних послуг, постачальників цифрових послуг та державних установ:

Підтримка тестування на потенційні вразливості:

• Розробка сценаріїв тестування на проникнення . Запропоновані сценарії можуть охоплювати мережі, програми, рішення віртуалізації, хмарні рішення, системи промислового контролю та Інтернет речей.

• Підтримка проведення тестування основних об’єктів, що працюють з критичною інфраструктурою, на потенційні вразливості.

• Підтримка розгортання цифрових інструментів та інфраструктур, що підтримують виконання сценаріїв тестування та для проведення навчань, таких як розробка стандартизованих кіберполігонів або інших засобів тестування, здатних імітувати особливості критичних секторів (наприклад, енергетичний сектор, транспортний сектор тощо) сприяти виконанню кібернавчань, зокрема в рамках транскордонних сценаріїв, де це доречно .

• Оцінка та/або тестування можливостей кібербезпеки MS (включаючи можливості запобігання, виявлення та реагування на інциденти).

• Консультаційні послуги, надання рекомендацій щодо покращення безпеки та можливостей інфраструктури

Підтримка оцінки загроз і ризиків:

• Реалізація процесу оцінки загроз та життєвий цикл

• Індивідуальний аналіз сценаріїв ризику.

Служба моніторингу ризиків:

• Спеціальний безперервний моніторинг ризиків, наприклад моніторинг поверхні атаки, моніторинг ризиків активів і вразливостей.

Заходи щодо готовності мають принести користь суб’єктам (включаючи МСП та стартапи) у секторах, які вказані як сектори критичної інфраструктури в NIS2 (Директива (ЄС) 2022/2555), таких як енергетика, транспорт і банківська справа, а також суб’єктам в інших відповідних секторах.

Ця дія спрямована на створення платформ, які служать опорною точкою та надають такі послуги, як тестування на проникнення та оцінку загроз для постачальників основних послуг і критичної інфраструктури, а також інших учасників. Це стосується даних і оперативних заходів щодо кібербезпеки, включаючи тести на проникнення та використання вразливостей. Така інформація може бути використана зловмисниками, і тому вона повинна бути захищена від можливих залежностей і вразливостей у кібербезпеці, щоб запобігти зовнішньому впливу та контролю. Як зазначалося раніше, участь організацій, що не входять до ЄС, тягне за собою ризик того, що дуже конфіденційна інформація про інфраструктуру безпеки, ризики та інциденти підпадає під дію законодавства або тиску, який зобов’язує ці організації, що не входять до ЄС, розкривати цю інформацію урядам країн, що не входять до ЄС, з непередбачуваним ризик безпеки. Тому, виходячи з викладених міркувань безпеки, дії, пов’язані з цими технологіями, регулюються статтею 12(5) Регламенту (ЄС) 2021/694 відповідно до WP 2021/2022.