Koordinert reaksjon på store cybersikkerhetshendelser og -kriser
Kommisjonsrekommandasjon (EU) 2017/1584 av 13. september 2017 om en koordinert reaksjon på vesentlige cybersikkerhetshendelser og -kriser
Commission Recommendation (EU) 2017/1584 of 13 September 2017 on coordinated response to large-scale cybersecurity incidents and crises
Kommisjonsrekommandasjon publisert i EU-tidende 19.9.2017
Bakgrunn
BAKGRUNN (fra kommisjonsrekommandasjonen, dansk utgave)
(1) Anvendelsen og afhængigheden af informations- og kommunikationsteknologier er blevet grundlæggende aspekter i alle sektorer af økonomien, da virksomheder og borgere mere end nogensinde før er indbyrdes forbundne og afhængige af hinanden. En cybersikkerhedshændelse, som berører organisationer i mere end en medlemsstat eller sågar hele Unionen med potentielt alvorlige forstyrrelser til følge på det indre marked og mere generelt for de net- og informationssystemer, som Unionens økonomi, demokrati og samfundsliv hviler på, er et scenarie, som medlemsstaterne og EU-institutionerne skal være velforberedt på at håndtere.
(2) En cybersikkerhedshændelse kan anses for at være en krise på EU-plan, når den forstyrrelse, som hændelsen forårsager, er for omfattende at håndtere på egen hånd for den berørte medlemsstat, eller når den berører to eller flere medlemsstater med en så vidtrækkende indvirkning af teknisk eller politisk betydning, at det kræver rettidig koordinering og reaktion på politisk plan i Unionen.
(3) Cybersikkerhedshændelser kan udløse en større krise og have indvirkning på andre aktivitetssektorer end net- og informationssystemer og kommunikationsnet; en passende reaktion skal derfor baseres på både cyberrelaterede og ikkecyberrelaterede modvirkningsforanstaltninger.
(4) Cybersikkerhedshændelser er uforudsigelige. De opstår og udvikler sig ofte inden for et meget kort tidsrum, og derfor skal de berørte enheder og dem, der har ansvaret for at reagere på og mindske virkningerne af hændelsen, hurtigt koordinere deres reaktion. Desuden er det ofte tilfældet, at cybersikkerhedshændelser ikke kun optræder inden for et bestemt geografisk område, men forekommer samtidigt i eller kan sprede sig hastigt til flere lande.
(5) En effektiv reaktion på væsentlige cybersikkerhedshændelser og -kriser på EU-plan kræver et hurtigt og effektivt samarbejde mellem alle relevante interessenter og afhænger af de enkelte medlemsstaters beredskab og kapaciteter og af koordinerede fælles foranstaltninger, der støttes gennem Unionens kapaciteter. For at kunne reagere rettidigt og effektivt på hændelser skal der være forudfastlagte og så vidt muligt indøvede fremgangsmåder og mekanismer for samarbejde med klart definerede roller og ansvarsområder for de vigtigste aktører på nationalt plan og på EU-plan.
(6) I sine konklusioner (1) om »Beskyttelse af kritisk informationsinfrastruktur« af 27. maj 2011 opfordrede Rådet medlemsstaterne til at styrke samarbejdet mellem medlemsstaterne og på grundlag af de nationale krisestyringserfaringer og -resultater og i samarbejde med ENISA at bidrage til udviklingen af europæiske samarbejdsmekanismer for netsikkerhedshændelser, der skal testes som led i den næste Cyber Europe-øvelse i 2012.
(7) I meddelelsen fra 2016 om »Styrkelse af Europas system for modstandsdygtighed over for cyberangreb og fremme af en konkurrencedygtig og innovativ cybersikkerhedsindustri« blev medlemsstaterne opfordret til at udnytte samarbejdsmekanismerne i NIS-direktivet så meget som muligt og forbedre det grænseoverskridende samarbejde om beredskabet ved væsentlige cybersikkerhedshændelser. Herudover blev det tilføjet, at en koordineret tilgang til krisesamarbejdet på tværs af de forskellige elementer i cyberøkosystemet, som skal uddybes i en plan, vil øge beredskabet, og at en sådan plan også bør sikre synergier og sammenhæng med eksisterende krisestyringsmekanismer.
(8) I Rådets konklusioner om ovennævnte meddelelse opfordrede medlemsstaterne Kommissionen til at fremlægge en sådan plan, så de berørte instanser og andre relevante interessenter har mulighed for at tage den med i overvejelserne. NIS-direktivet foreskriver imidlertid ikke en samarbejdsramme på EU-plan i tilfælde af væsentlige cybersikkerhedshændelser og -kriser.
(9) Kommissionen rådførte sig med medlemsstaterne i to særskilte workshops, som blev afholdt i Bruxelles den 5. april og den 4. juli 2017 med deltagelse af repræsentanter for medlemsstaterne fra de enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er), den samarbejdsgruppe, der er nedsat ved NIS-direktivet og Rådets Horisontale Gruppe vedrørende Cyberspørgsmål samt repræsentanter for Tjenesten for EU's Optræden Udadtil (EEAS), ENISA, Europol/EC3 og Generalsekretariatet for Rådet (GSC).
(10) Den nuværende plan for en koordineret reaktion på væsentlige cybersikkerhedshændelser og -kriser på EU-plan, der er vedlagt som bilag til denne henstilling, er resultatet af ovennævnte samråd og supplerer meddelelsen om »Styrkelse af Europas system for modstandsdygtighed over for cyberangreb og fremme af en konkurrencedygtig og innovativ cybersikkerhedsindustri«.
(11) I planen beskrives og fastlægges målene og formerne for samarbejde mellem medlemsstaterne og EU-institutioner, organer, kontorer og agenturer (herefter »EU-institutioner«) ved reaktion på væsentlige cybersikkerhedshændelser og -kriser, og hvordan eksisterende krisestyringsmekanismer kan gøre fuld brug af eksisterende enheder på EU-plan med ansvar for cybersikkerhed.
(12) Ved reaktionen på en cyberkrise som omhandlet i betragtning 2 vil Rådet ved koordineringen af reaktionen på politisk plan i Unionen gøre brug af de integrerede ordninger for politisk kriserespons (IPCR); Kommissionen vil anvende den tværsektorielle krisekoordineringsproces på højt niveau, ARGUS (6). Hvis krisen har en vigtig ekstern dimension eller berører den fælles sikkerheds- og forsvarspolitik (FSFP), aktiveres EU-Udenrigstjenestens krisereaktionsmekanisme (CRM).
(13) På visse områder foreskriver tværsektorielle krisestyringsmekanismer på EU-plan samarbejde i tilfælde af cybersikkerhedshændelser eller -kriser. Således er det f.eks. inden for rammerne af det europæiske globale satellitnavigationssystem (GNSS) allerede fastlagt i Rådets afgørelse 2014/496/FUSP, hvilke opgaver Rådet, Den Højtstående Repræsentant, Kommissionen, Det Europæiske GNSS-Agentur og medlemsstaterne skal varetage i kæden af operationelle ansvarsopgaver, der er fastlagt med henblik på at reagere på en trussel for Unionen, medlemsstaterne eller GNSS, herunder også i tilfælde af cyberangreb. Nærværende henstilling berører derfor ikke sådanne mekanismer.
(14) Det er medlemsstaterne, som har det primære ansvar for at reagere i tilfælde af væsentlige cybersikkerhedshændelser og -kriser, der berører dem. Der er imidlertid også fastlagt en vigtig rolle for Kommissionen, den højtstående repræsentant og andre EU-institutioner eller -tjenestegrene, som udspringer af EU-retten eller af det forhold, at cybersikkerhedshændelser og -kriser kan have indvirkning på alle sektorer af økonomien, Unionens sikkerhed og internationale forbindelser og på institutionerne.
(15) På EU-plan tæller de vigtigste aktører, der er involveret i reaktion på cybersikkerhedskriser, de i medfør af NIS-direktivet nyoprettede strukturer og mekanismer, herunder netværket af enheder, der håndterer IT-sikkerhedshændelser (CSIRT), og de relevante agenturer og organer, dvs. Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA), Det Europæiske Center for Bekæmpelse af Cyberkriminalitet (Europol/EC3), EU's Efterretningsanalysecenter (INTCEN), Efterretningsafdelingen under EU's Militærstab (EUMS INT) og Situationscentret (SITROOM) i INTCEN, der samarbejder som SIAC (ordningen med én efterretningsanalysekapacitet), EU-Enheden for Analyse og Udveksling af Oplysninger om Hybride Trusler (med hovedkvarter i INTCEN), IT-Beredskabsenheden for EU's Institutioner (CERT-EU) og Det Europæiske Beredskabskoordineringscenter i Kommissionen
(16) Samarbejdet mellem medlemsstaterne i forbindelse med reaktion på cyberhændelser på teknisk plan foregår gennem CSIRT-netværket, der er oprettet i medfør af NIS-direktivet. ENISA varetager sekretariatsfunktionen for netværket og støtter aktivt samarbejdet mellem CSIRT-enhederne. De nationale CSIRT og CERT-EU samarbejder og udveksler oplysninger på frivillig basis, herunder, når det er nødvendigt, som reaktion på cybersikkerhedshændelser, der berører en eller flere medlemsstater. På anmodning af en repræsentant for en medlemsstats CSIRT kan de drøfte og, når det er muligt, identificere en samordnet reaktion på en hændelse, som er identificeret inden for samme medlemsstats jurisdiktion. De nærmere procedurer herfor vil blive fastlagt inden for rammerne af CSIRT-netværkets operative standardprocedurer (SOP).
(17) CSIRT-netværket har også til opgave at drøfte, undersøge og identificere yderligere former for operationelt samarbejde, herunder i forhold til kategorier af risici og hændelser, tidlige varslinger, gensidig bistand, principper og retningslinjer for koordination, når medlemsstaterne reagerer på grænseoverskridende risici og hændelser.
(18) Den samarbejdsgruppe, der er nedsat i medfør af artikel 11 i NIS-direktivet, har til opgave at yde strategisk vejledning om aktiviteterne i CSIRT-netværket og at drøfte medlemsstaternes kapaciteter og beredskab og på frivillig basis evaluere nationale strategier for sikkerheden i net- og informationssystemer og CSIRT'ers effektivitet samt identificere bedste praksis.
(19) Gennem et specifikt arbejdsforløb inden for samarbejdsgruppen er der i øjeblikket ved at blive udarbejdet retningslinjer for underretninger om hændelser, jf. artikel 14, stk. 7, i NIS-direktivet, om de omstændigheder, hvorunder operatører af væsentlige tjenester har pligt til at underrette om hændelser, jf. artikel 14, stk. 3, samt formatet og proceduren for disse underretninger.
(20) Kendskab til og forståelse af situationen i realtid, risikosituationen og truslerne, som er opnået gennem rapporter, vurderinger, forskning, undersøgelser og analyser, er af stor vigtighed for at kunne træffe velbegrundede beslutninger. Dette »kendskab til situationen« — hos alle relevante interessenter — er afgørende for en effektiv koordineret reaktion. Til kendskab til situationen hører oplysninger om årsagerne til og følgerne og oprindelsen af hændelsen. Det anerkendes, at dette forudsætter udveksling og deling af oplysninger mellem berørte parter i et egnet format og ved anvendelse af en fælles klassificering til at beskrive hændelsen på en tilstrækkelig sikker måde.
(21) Håndteringen af cybersikkerhedshændelser kan antage mange former, fra identifikation af tekniske foranstaltninger, der kan indebære, at to eller flere enheder i fællesskab undersøger de tekniske årsager til hændelsen (f.eks. analyse af malware), eller identifikation af metoder, ved hjælp af hvilke organisationerne kan vurdere, hvorvidt de er berørt (f.eks. indikatorer for kompromittering (IOC)), til operationelle beslutninger om anvendelse af sådanne foranstaltninger og på politisk plan træffe beslutning om anvendelse af andre instrumenter som f.eks. den fælles ramme for reaktion på ondsindede cyberaktiviteter eller EU's fælles operationelle protokol for imødegåelse af hybride trusler (EU-drejebogen), afhængigt af hændelsens natur.
(22) At de europæiske borgere og virksomheder har tillid til de digitale tjenester, er afgørende for det digitale indre markeds fortsatte udvikling. Derfor spiller krisekommunikation en særlig vigtig rolle i afbødningen af de negative følger af cybersikkerhedshændelser og -kriser. Kommunikation kan også anvendes inden for rammerne af EU's fælles diplomatiske reaktion som en måde at påvirke adfærden hos (potentielle) angribere fra tredjelande. For at en politisk reaktion kan have den ønskede effekt, er det afgørende at der er overensstemmelse mellem den offentlige kommunikation, der har til formål at afbøde de negative virkninger af cybersikkerhedshændelser og -kriser, og den offentlige kommunikation, der har til formål at påvirke udøvere af ondsindede cyberaktiviteter.
(23) Oplysning af offentligheden om, hvordan virkningerne af en hændelse kan afbødes på brugerniveau og organisatorisk niveau (f.eks. ved at downloade en softwarepatch eller at træffe supplerende foranstaltninger til at undgå at udsætte sig selv for risiko, osv.), kan være en effektiv foranstaltning til at begrænse omfanget af en væsentlig cybersikkerhedshændelse eller -krise.
(24) I øjeblikket er Kommissionen gennem Connecting Europe-facilitetens (CEF) program om digitaltjenesteinfrastrukturer ved at udvikle en central tjenesteplatform og samarbejdsmekanisme, også kendt som MeliCERTes, mellem de medlemsstater, der deltager i CSIRT, for at forbedre deres beredskabsniveauer, samarbejde og reaktion over for nye trusler mod cybersikkerheden og cybersikkerhedshændelser. I øjeblikket medfinansierer Kommissionen gennem indkaldelser af konkurrerende forslag for tildeling af tilskud under Connecting Europe-faciliteten (CEF) CSIRT'er i medlemsstaterne for at forbedre deres operationelle kapacitet på nationalt plan.
(25) Cybersikkerhedsøvelser på EU-plan har afgørende betydning for at tilskynde til og forbedre samarbejdet mellem medlemsstaterne og den private sektor. Med henblik herpå har ENISA siden 2010 gennemført regelmæssige fælleseuropæiske cyberhændelsesøvelser (»Cyber Europe«).
(26) I Rådets konklusioner om gennemførelsen af den fælles erklæring fra formanden for Det Europæiske Råd, formanden for Europa-Kommissionen og generalsekretæren for Den Nordatlantiske Traktats Organisation opfordres der til at styrke samarbejdet inden for cyberøvelser gennem gensidig medarbejderdeltagelse i relevante øvelser, herunder navnlig Cyber Coalition og Cyber Europe.
(27) Det stadigt skiftende trusselsbillede og de seneste cybersikkerhedshændelser er tegn på den stigende trussel, som Unionen står overfor, og medlemsstaterne bør handle på nærværende henstilling så hurtigt som muligt og under alle omstændigheder senest ved udgangen af 2018 —
(1) Anvendelsen og afhængigheden af informations- og kommunikationsteknologier er blevet grundlæggende aspekter i alle sektorer af økonomien, da virksomheder og borgere mere end nogensinde før er indbyrdes forbundne og afhængige af hinanden. En cybersikkerhedshændelse, som berører organisationer i mere end en medlemsstat eller sågar hele Unionen med potentielt alvorlige forstyrrelser til følge på det indre marked og mere generelt for de net- og informationssystemer, som Unionens økonomi, demokrati og samfundsliv hviler på, er et scenarie, som medlemsstaterne og EU-institutionerne skal være velforberedt på at håndtere.
(2) En cybersikkerhedshændelse kan anses for at være en krise på EU-plan, når den forstyrrelse, som hændelsen forårsager, er for omfattende at håndtere på egen hånd for den berørte medlemsstat, eller når den berører to eller flere medlemsstater med en så vidtrækkende indvirkning af teknisk eller politisk betydning, at det kræver rettidig koordinering og reaktion på politisk plan i Unionen.
(3) Cybersikkerhedshændelser kan udløse en større krise og have indvirkning på andre aktivitetssektorer end net- og informationssystemer og kommunikationsnet; en passende reaktion skal derfor baseres på både cyberrelaterede og ikkecyberrelaterede modvirkningsforanstaltninger.
(4) Cybersikkerhedshændelser er uforudsigelige. De opstår og udvikler sig ofte inden for et meget kort tidsrum, og derfor skal de berørte enheder og dem, der har ansvaret for at reagere på og mindske virkningerne af hændelsen, hurtigt koordinere deres reaktion. Desuden er det ofte tilfældet, at cybersikkerhedshændelser ikke kun optræder inden for et bestemt geografisk område, men forekommer samtidigt i eller kan sprede sig hastigt til flere lande.
(5) En effektiv reaktion på væsentlige cybersikkerhedshændelser og -kriser på EU-plan kræver et hurtigt og effektivt samarbejde mellem alle relevante interessenter og afhænger af de enkelte medlemsstaters beredskab og kapaciteter og af koordinerede fælles foranstaltninger, der støttes gennem Unionens kapaciteter. For at kunne reagere rettidigt og effektivt på hændelser skal der være forudfastlagte og så vidt muligt indøvede fremgangsmåder og mekanismer for samarbejde med klart definerede roller og ansvarsområder for de vigtigste aktører på nationalt plan og på EU-plan.
(6) I sine konklusioner (1) om »Beskyttelse af kritisk informationsinfrastruktur« af 27. maj 2011 opfordrede Rådet medlemsstaterne til at styrke samarbejdet mellem medlemsstaterne og på grundlag af de nationale krisestyringserfaringer og -resultater og i samarbejde med ENISA at bidrage til udviklingen af europæiske samarbejdsmekanismer for netsikkerhedshændelser, der skal testes som led i den næste Cyber Europe-øvelse i 2012.
(7) I meddelelsen fra 2016 om »Styrkelse af Europas system for modstandsdygtighed over for cyberangreb og fremme af en konkurrencedygtig og innovativ cybersikkerhedsindustri« blev medlemsstaterne opfordret til at udnytte samarbejdsmekanismerne i NIS-direktivet så meget som muligt og forbedre det grænseoverskridende samarbejde om beredskabet ved væsentlige cybersikkerhedshændelser. Herudover blev det tilføjet, at en koordineret tilgang til krisesamarbejdet på tværs af de forskellige elementer i cyberøkosystemet, som skal uddybes i en plan, vil øge beredskabet, og at en sådan plan også bør sikre synergier og sammenhæng med eksisterende krisestyringsmekanismer.
(8) I Rådets konklusioner om ovennævnte meddelelse opfordrede medlemsstaterne Kommissionen til at fremlægge en sådan plan, så de berørte instanser og andre relevante interessenter har mulighed for at tage den med i overvejelserne. NIS-direktivet foreskriver imidlertid ikke en samarbejdsramme på EU-plan i tilfælde af væsentlige cybersikkerhedshændelser og -kriser.
(9) Kommissionen rådførte sig med medlemsstaterne i to særskilte workshops, som blev afholdt i Bruxelles den 5. april og den 4. juli 2017 med deltagelse af repræsentanter for medlemsstaterne fra de enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er), den samarbejdsgruppe, der er nedsat ved NIS-direktivet og Rådets Horisontale Gruppe vedrørende Cyberspørgsmål samt repræsentanter for Tjenesten for EU's Optræden Udadtil (EEAS), ENISA, Europol/EC3 og Generalsekretariatet for Rådet (GSC).
(10) Den nuværende plan for en koordineret reaktion på væsentlige cybersikkerhedshændelser og -kriser på EU-plan, der er vedlagt som bilag til denne henstilling, er resultatet af ovennævnte samråd og supplerer meddelelsen om »Styrkelse af Europas system for modstandsdygtighed over for cyberangreb og fremme af en konkurrencedygtig og innovativ cybersikkerhedsindustri«.
(11) I planen beskrives og fastlægges målene og formerne for samarbejde mellem medlemsstaterne og EU-institutioner, organer, kontorer og agenturer (herefter »EU-institutioner«) ved reaktion på væsentlige cybersikkerhedshændelser og -kriser, og hvordan eksisterende krisestyringsmekanismer kan gøre fuld brug af eksisterende enheder på EU-plan med ansvar for cybersikkerhed.
(12) Ved reaktionen på en cyberkrise som omhandlet i betragtning 2 vil Rådet ved koordineringen af reaktionen på politisk plan i Unionen gøre brug af de integrerede ordninger for politisk kriserespons (IPCR); Kommissionen vil anvende den tværsektorielle krisekoordineringsproces på højt niveau, ARGUS (6). Hvis krisen har en vigtig ekstern dimension eller berører den fælles sikkerheds- og forsvarspolitik (FSFP), aktiveres EU-Udenrigstjenestens krisereaktionsmekanisme (CRM).
(13) På visse områder foreskriver tværsektorielle krisestyringsmekanismer på EU-plan samarbejde i tilfælde af cybersikkerhedshændelser eller -kriser. Således er det f.eks. inden for rammerne af det europæiske globale satellitnavigationssystem (GNSS) allerede fastlagt i Rådets afgørelse 2014/496/FUSP, hvilke opgaver Rådet, Den Højtstående Repræsentant, Kommissionen, Det Europæiske GNSS-Agentur og medlemsstaterne skal varetage i kæden af operationelle ansvarsopgaver, der er fastlagt med henblik på at reagere på en trussel for Unionen, medlemsstaterne eller GNSS, herunder også i tilfælde af cyberangreb. Nærværende henstilling berører derfor ikke sådanne mekanismer.
(14) Det er medlemsstaterne, som har det primære ansvar for at reagere i tilfælde af væsentlige cybersikkerhedshændelser og -kriser, der berører dem. Der er imidlertid også fastlagt en vigtig rolle for Kommissionen, den højtstående repræsentant og andre EU-institutioner eller -tjenestegrene, som udspringer af EU-retten eller af det forhold, at cybersikkerhedshændelser og -kriser kan have indvirkning på alle sektorer af økonomien, Unionens sikkerhed og internationale forbindelser og på institutionerne.
(15) På EU-plan tæller de vigtigste aktører, der er involveret i reaktion på cybersikkerhedskriser, de i medfør af NIS-direktivet nyoprettede strukturer og mekanismer, herunder netværket af enheder, der håndterer IT-sikkerhedshændelser (CSIRT), og de relevante agenturer og organer, dvs. Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA), Det Europæiske Center for Bekæmpelse af Cyberkriminalitet (Europol/EC3), EU's Efterretningsanalysecenter (INTCEN), Efterretningsafdelingen under EU's Militærstab (EUMS INT) og Situationscentret (SITROOM) i INTCEN, der samarbejder som SIAC (ordningen med én efterretningsanalysekapacitet), EU-Enheden for Analyse og Udveksling af Oplysninger om Hybride Trusler (med hovedkvarter i INTCEN), IT-Beredskabsenheden for EU's Institutioner (CERT-EU) og Det Europæiske Beredskabskoordineringscenter i Kommissionen
(16) Samarbejdet mellem medlemsstaterne i forbindelse med reaktion på cyberhændelser på teknisk plan foregår gennem CSIRT-netværket, der er oprettet i medfør af NIS-direktivet. ENISA varetager sekretariatsfunktionen for netværket og støtter aktivt samarbejdet mellem CSIRT-enhederne. De nationale CSIRT og CERT-EU samarbejder og udveksler oplysninger på frivillig basis, herunder, når det er nødvendigt, som reaktion på cybersikkerhedshændelser, der berører en eller flere medlemsstater. På anmodning af en repræsentant for en medlemsstats CSIRT kan de drøfte og, når det er muligt, identificere en samordnet reaktion på en hændelse, som er identificeret inden for samme medlemsstats jurisdiktion. De nærmere procedurer herfor vil blive fastlagt inden for rammerne af CSIRT-netværkets operative standardprocedurer (SOP).
(17) CSIRT-netværket har også til opgave at drøfte, undersøge og identificere yderligere former for operationelt samarbejde, herunder i forhold til kategorier af risici og hændelser, tidlige varslinger, gensidig bistand, principper og retningslinjer for koordination, når medlemsstaterne reagerer på grænseoverskridende risici og hændelser.
(18) Den samarbejdsgruppe, der er nedsat i medfør af artikel 11 i NIS-direktivet, har til opgave at yde strategisk vejledning om aktiviteterne i CSIRT-netværket og at drøfte medlemsstaternes kapaciteter og beredskab og på frivillig basis evaluere nationale strategier for sikkerheden i net- og informationssystemer og CSIRT'ers effektivitet samt identificere bedste praksis.
(19) Gennem et specifikt arbejdsforløb inden for samarbejdsgruppen er der i øjeblikket ved at blive udarbejdet retningslinjer for underretninger om hændelser, jf. artikel 14, stk. 7, i NIS-direktivet, om de omstændigheder, hvorunder operatører af væsentlige tjenester har pligt til at underrette om hændelser, jf. artikel 14, stk. 3, samt formatet og proceduren for disse underretninger.
(20) Kendskab til og forståelse af situationen i realtid, risikosituationen og truslerne, som er opnået gennem rapporter, vurderinger, forskning, undersøgelser og analyser, er af stor vigtighed for at kunne træffe velbegrundede beslutninger. Dette »kendskab til situationen« — hos alle relevante interessenter — er afgørende for en effektiv koordineret reaktion. Til kendskab til situationen hører oplysninger om årsagerne til og følgerne og oprindelsen af hændelsen. Det anerkendes, at dette forudsætter udveksling og deling af oplysninger mellem berørte parter i et egnet format og ved anvendelse af en fælles klassificering til at beskrive hændelsen på en tilstrækkelig sikker måde.
(21) Håndteringen af cybersikkerhedshændelser kan antage mange former, fra identifikation af tekniske foranstaltninger, der kan indebære, at to eller flere enheder i fællesskab undersøger de tekniske årsager til hændelsen (f.eks. analyse af malware), eller identifikation af metoder, ved hjælp af hvilke organisationerne kan vurdere, hvorvidt de er berørt (f.eks. indikatorer for kompromittering (IOC)), til operationelle beslutninger om anvendelse af sådanne foranstaltninger og på politisk plan træffe beslutning om anvendelse af andre instrumenter som f.eks. den fælles ramme for reaktion på ondsindede cyberaktiviteter eller EU's fælles operationelle protokol for imødegåelse af hybride trusler (EU-drejebogen), afhængigt af hændelsens natur.
(22) At de europæiske borgere og virksomheder har tillid til de digitale tjenester, er afgørende for det digitale indre markeds fortsatte udvikling. Derfor spiller krisekommunikation en særlig vigtig rolle i afbødningen af de negative følger af cybersikkerhedshændelser og -kriser. Kommunikation kan også anvendes inden for rammerne af EU's fælles diplomatiske reaktion som en måde at påvirke adfærden hos (potentielle) angribere fra tredjelande. For at en politisk reaktion kan have den ønskede effekt, er det afgørende at der er overensstemmelse mellem den offentlige kommunikation, der har til formål at afbøde de negative virkninger af cybersikkerhedshændelser og -kriser, og den offentlige kommunikation, der har til formål at påvirke udøvere af ondsindede cyberaktiviteter.
(23) Oplysning af offentligheden om, hvordan virkningerne af en hændelse kan afbødes på brugerniveau og organisatorisk niveau (f.eks. ved at downloade en softwarepatch eller at træffe supplerende foranstaltninger til at undgå at udsætte sig selv for risiko, osv.), kan være en effektiv foranstaltning til at begrænse omfanget af en væsentlig cybersikkerhedshændelse eller -krise.
(24) I øjeblikket er Kommissionen gennem Connecting Europe-facilitetens (CEF) program om digitaltjenesteinfrastrukturer ved at udvikle en central tjenesteplatform og samarbejdsmekanisme, også kendt som MeliCERTes, mellem de medlemsstater, der deltager i CSIRT, for at forbedre deres beredskabsniveauer, samarbejde og reaktion over for nye trusler mod cybersikkerheden og cybersikkerhedshændelser. I øjeblikket medfinansierer Kommissionen gennem indkaldelser af konkurrerende forslag for tildeling af tilskud under Connecting Europe-faciliteten (CEF) CSIRT'er i medlemsstaterne for at forbedre deres operationelle kapacitet på nationalt plan.
(25) Cybersikkerhedsøvelser på EU-plan har afgørende betydning for at tilskynde til og forbedre samarbejdet mellem medlemsstaterne og den private sektor. Med henblik herpå har ENISA siden 2010 gennemført regelmæssige fælleseuropæiske cyberhændelsesøvelser (»Cyber Europe«).
(26) I Rådets konklusioner om gennemførelsen af den fælles erklæring fra formanden for Det Europæiske Råd, formanden for Europa-Kommissionen og generalsekretæren for Den Nordatlantiske Traktats Organisation opfordres der til at styrke samarbejdet inden for cyberøvelser gennem gensidig medarbejderdeltagelse i relevante øvelser, herunder navnlig Cyber Coalition og Cyber Europe.
(27) Det stadigt skiftende trusselsbillede og de seneste cybersikkerhedshændelser er tegn på den stigende trussel, som Unionen står overfor, og medlemsstaterne bør handle på nærværende henstilling så hurtigt som muligt og under alle omstændigheder senest ved udgangen af 2018 —