Joint Communication The EUs Cybersecurity Strategy For The Digital

НЕОФІЦІЙНИЙ ПЕРЕКЛАД UNOFFICIAL TRANSLATION
https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=72164
Брюссель, 16.12.2020 року

JOIN(2020) 18 остаточна редакція
СПІЛЬНЕ ПОВІДОМЛЕННЯ ЄВРОПЕЙСЬКОГО

ПАРЛАМЕНТУ ТА РАДИ
Стратегія кібербезпеки ЄС на цифрове десятиліття
UA UA
СПІЛЬНЕ ПОВІДОМЛЕННЯ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ ТА РАДИ
Стратегія кібербезпеки ЄС на цифрове десятиліття
I. ВСТУП: ЦИФРОВА ТРАНСФОРМАЦІЯ КІБЕРБЕЗПЕКИ У СКЛАДНОМУ

СЕРЕДОВИЩІ ЗАГРОЗ
Кібербезпека є невід’ємною частиною безпеки європейців. Не залежно від того, чи
це підключені пристрої, електромережі, банки, літаки, державні адміністрації чи
лікарні, якими вони користуються або часто відвідують, люди заслуговують на те,
щоб, використовуючи ці блага, мати гарантію захисту від кіберзагроз. Економіка,
демократія та суспільство ЄС як ніколи залежать від безпечних та надійних
цифрових інструментів та зв’язків. Таким чином, кібербезпека є життєво
важливою для побудови стійкої, екологічної та цифрової Європи.
Транспорт, енергетика та охорона здоров’я, телекомунікації, фінанси,
безпека, демократичні процеси, космос та оборона значною мірою залежать
від мережевих та інформаційних систем, зв’язки між якими стають дедалі
тіснішими. Взаємозалежність різних секторів дуже сильна, оскільки мережі та
інформаційні системи, у свою чергу, залежать від стабільного постачання
електроенергії для функціонування. Підключених пристроїв уже більше, ніж
людей на планеті, і, за прогнозами, їхня кількість зросте до 25 млрд до 2025 року1,
чверть із них буде розташована в Європі. Діджиталізацію схем роботи прискорила
пандемія COVID-19, під час якої 40% працівників у ЄС перейшли на роботу в
дистанційному режимі, що, ймовірно, серйозно вплине на звичне повсякденне
життя2. Це збільшує вразливість до кібератак3. Підключені до мережі предмети
часто постачаються споживачам із наявними відомими вразливими місцями, що
ще більше розширює можливості для здійснення зловмисної кібердіяльності4.
Промисловий ландшафт у ЄС дедалі більше діджиталізується та пов’язується; це
також означає, що кібератаки можуть мати набагато більший вплив на галузі та
екосистеми, ніж будь-коли раніше.
1 За оцінками телекомунікаційної торгової асоціації GSMA; https://www.gsma.com/iot/wp-

content/uploads/2018/08/GSMA-IoT-Infographic-2019.pdf). За прогнозами International Data
Corporation — 42,6 мільярда підключених машин, сенсорів та камер;
https://www.idc.com/getdoc.jsp?containerId=prUS45213219.
2 Згідно з опитуванням, проведеним у червні 2020 року, 47% керівників підприємств заявили, що
мають намір дозволити працівникам віддалено працювати повний робочий день, навіть якщо
стане можливим повернутися на робоче місце; 82% мають намір дозволити працювати віддалено
хоча б частину робочого часу; https://www.gartner.com/en/newsroom/press-releases/2020-07-14-
gartner-survey-reveals-82-percent-of-company-leaders-plan-to-allow-employees-to-work-remotely-
some-of-the-time.
3
https://www.europol.europa.eu/sites/default/files/documents/internet_organised_crime_threat_assess
ment_iocta_2020.pdf
4 Одна з найбільш шкідливих програм-вірусів на сьогоднішній день, відома як Mirai, створила бот-
мережі з понад 600 000 пристроїв, які порушили роботу кількох важливих веб-сайтів у Європі та
США.
1
Наявні загрози додатково ускладнюються геополітичною напруженістю

щодо питань глобального та відкритого Інтернету та контролю над
технологіями протягом усього ланцюжка поставок5. Ця напруженість
відслідковується у зростанні кількості держав-націй, які встановлюють цифрові
кордони. Обмеження Інтернету та в Інтернеті є загрозою для глобального та
відкритого кіберпростору, а також для верховенства права, основних прав,
свободи та демократії — базових цінностей ЄС. Кіберпростір дедалі частіше
використовується в політичних та ідеологічних цілях, а посилена поляризація на
міжнародному рівні заважає ефективному багатосторонньому розвитку. Гібридні
загрози поєднують дезінформаційні кампанії з кібератаками на інфраструктуру,
економічні процеси та демократичні інститути, що потенційно може спричинити
фізичну шкоду, дозволити отримати неправомірний доступ до персональних
даних, викрасти виробничу або державну таємницю, посіяти недовіру та
послабити соціальну згуртованість. Такі дії підривають міжнародну безпеку та
стабільність і знецінюють вигоди, які дає кіберпростір для економічного,
соціального та політичного розвитку.
Атаки на критичну інфраструктуру зі зловмисними намірами — це
серйозний глобальний ризик6. Інтернет має децентралізовану архітектуру,
тобто не має центральної структури та управління широким колом зацікавлених
сторін. Йому вдалося зберегти експоненціальне збільшення обсягів трафіку,
залишаючись постійною мішенню для зловмисних атак7. Водночас, продовжує
зростати залежність від основних функцій глобальної та відкритої мережі
Інтернет, таких як система доменних імен (DNS), та основних Інтернет-служб для
зв’язку та хостингу, програм та даних. Такі послуги дедалі більше
зосереджуються в руках декількох приватних компаній8. Це залишає європейську
економіку та суспільство вразливими до руйнівних геополітичних чи технічних
подій, які вплинуть на ядро мережі Інтернет або одну чи декілька з таких
компаній. Збільшення використання Інтернету та зміна старих схем, спричинені
пандемією, викрили ще більшу вразливість ланцюгів поставок, які залежать від
цієї цифрової інфраструктури.
5 Зокрема електронні компоненти, аналітика даних, хмарні, швидші та розумніші мережі 5G (та
пізніші версії), шифрування, штучний інтелект (AI), а також нові обчислювальні та надійні
парадигми обробки даних, такі як блокчейн, cloud-to-edge (хмарні обчислення vs периферійні
обчислення) та квантові обчислення.
6 Світовий економічний форум, Звіт про глобальні ризики за 2020 рік.
7 За повідомленнями Організації економічного співробітництва та розвитку, через пандемію
використання інтернет-трафіку збільшилося на 60%; https://www.oecd.org/coronavirus/policy-

responses/keeping-the-internet-up-and-running-in-times-of-crisis-4017c4c9/. Орган європейських
регуляторів електронних комунікацій та Комісія регулярно публікують звіти про стан пропускної
спроможності мережі Інтернет під час заходів, спрямованих на обмеження для попередження
розповсюдження коронавірусу. Згідно з повідомленням ENISA, протягом ІІІ кварталу 2019 року
загальна кількість атак на відмову в обслуговуванні (DDoS-атак) зросла на 241% порівняно з ІІІ
кварталом 2018 року. DDoS-атаки зростають за інтенсивністю, причому найбільша за всю історію
атака, під час якої швидкість трафіку досягла 2,3 терабіта за секунду, відбулася в лютому 2020
року. Під час інциденту відмови мережі «CenturyLink», який відбувся у серпні 2020 року, проблема
маршрутизації в Інтернет-провайдера США призвела до падіння глобального веб-трафіку на 3,5%;
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-distributed-denial-of-service
8 Інтернет-суспільство, Глобальний звіт про Інтернет: консолідація Інтернет-економіки;
https://www.internetsociety.org/blog/2019/02/is-the-internet-shrinking-the-global-internet-report-
consolidation-in-the-internet-economy-explores-this-question/
2
Питання до безпеки є головним стримуючим фактором для використання

Інтернет-послуг9. Близько двох п’ятих користувачів із ЄС стикалися з
проблемами безпеки, і три п’ятих відчувають, що не в змозі захиститися від
кіберзлочинності10. Третина отримувала шахрайські електронні листи або
телефонні дзвінки з проханням ввести особисті дані за останні три роки, але 83%
ніколи не повідомляли про кіберзлочини. Кожен восьмий бізнес постраждав від
кібератак11. Понад половина персональних комп’ютерів для бізнесу та
споживачів, які інфікувалися шкідливим програмним забезпеченням, інфікуються
повторно протягом року12. Щорічно через витік даних втрачаються сотні
мільйонів записів; середня вартість витоку для одного підприємства зросла до
понад 3,5 млн євро у 2018 році13. Вплив кібератаки часто неможливо ізолювати, і
він може спричинити ланцюгові реакції в економіці та суспільстві, охоплюючи
мільйони людей14.
Розслідування майже всіх видів злочинів включає цифрову складову. У 2019
році кількість інцидентів за рік зросла втричі. За оцінками, існує 700 мільйонів
нових зразків шкідливого програмного забезпечення — найпоширенішого засобу
для кібератак15. Щорічні втрати через кіберзлочинність для світової економіки у
2020 році, за оцінками, становлять 5,5 трлн євро, що удвічі більше, ніж у 2015
році16. Це найбільше переміщення економічного багатства в історії, більше, ніж
глобальна торгівля наркотиками. Для прикладу, збитки від одного серйозного
інциденту, атаки вірусу WannaCry, у 2017 році, для світової економіки
оцінювалися у понад 6,5 млрд євро17.
Цифрові послуги та фінансовий сектор є одними з найпоширеніших об’єктів

кібератак, поряд із державним та виробничим секторами, однак готовність
до кіберзагроз та обізнаність серед підприємств і приватних осіб
залишаються низькими18, а також існує значний дефіцит навичок
9 https://data.europa.eu/euodp/en/data/dataset/S2249_92_2_499_ENG
10 Індекс цифрової економіки та суспільства 2020; https://ec.europa.eu/digital-single-
market/en/news/digital-economy-and-society-index-desi-2020;
https://data.europa.eu/euodp/en/data/dataset/S2249_92_2_499_ENG
11 Прес-реліз Євростату, «Заходи безпеки ІКТ, вжиті переважною більшістю підприємств у ЄС»,
6/2020 — 13 січня 2020 року. «Кібератаки на критичну інфраструктуру стали новим звичним
явищем у таких секторах, як енергетика, охорона здоров’я та транспорт»; ВЕФ, Звіт про глобальні
ризики за 2020 рік.
12 Джерело: Comparitech.
13 Щорічна вартість звіту про порушення даних, проведеного Інститутом Понемона за 2020 рік, на
основі кількісного аналізу 524 недавніх порушень у 17 географічних регіонах та 17 галузях;

https://www.capita.com/sites/g/files/nginej146/files/2020-08/Ponemon-Global-Cost-of-Data-Breach-
Study-2020.pdf
14 Звіт Спільного дослідницького центру (СДЦ), «Кібербезпека, наш цифровий якір»;
https://ec.europa.eu/jrc/en/publication/eur-scientific-and-technical-research-reports/cybersecurity-
our-digital-anchor
15 Джерело: AV-TEST, https://www.av-test.org/en/statistics/malware/
16 СДЦ, Кібербезпека — наш цифровий якір.
17 Джерело: Cyence.
18 Також, поінформованість бізнесу залишається низькою в тому, що стосується кіберкрадіжок
комерційної таємниці, особливо серед малих та середніх підприємств; PwC, «Дослідження

масштабів та впливу промислового шпигунства та розкрадання комерційної таємниці в
кіберпросторі: Звіт про розповсюдження заходів щодо подолання та запобігання викраденню
комерційної таємниці в кіберпросторі, 2018 рік».
3
кібербезпеки серед робітників19. У 2019 році було зафіксовано майже 450

випадків загроз кібербезпеці, пов’язаних із такими важливими європейськими
інфраструктурами як фінанси та енергетика20. Особливо сильно постраждали
організації та спеціалісти у сфері охорони здоров’я під час пандемії. Оскільки
технології стають невід’ємною частиною фізичного світу, кібератаки ставлять під
загрозу життя та благополуччя найбільш вразливої частини населення21. Понад
дві третини компаній, зокрема МСП, вважаються «новачками» у кібербезпеці, а
європейські компанії вважаються менш підготовленими, ніж компанії в Азії та
Америці22. За оцінками, 291 000 посад для фахівців з кібербезпеки в Європі
залишаються вакантними. Прийом на роботу та навчання фахівців з кібербезпеки
є повільним процесом, що призводить до появи більших кіберризиків для
організацій23.
У ЄС відсутнє колективне ситуативне усвідомлення кіберзагроз. Це пов’язано
з тим, що національні органи влади систематично не збирають та не
обмінюються інформацією (на відміну від приватного сектора), яка може
допомогти оцінити стан кібербезпеки в ЄС. Держави-члени повідомляють лише
про частину інцидентів, а обмін інформацією не є систематичним чи всебічним24;
кібератаки можуть бути лише одним із аспектів узгоджених зловмисних атак,
направлених проти європейських суспільств. Наразі взаємодопомога між
державами-членами обмежена, а для держав-членів та установ і органів ЄС не
існує жодного оперативного механізму на випадок виникнення масштабних,
транскордонних кіберінцидентів або кризи25.
Тому покращення кібербезпеки є надзвичайно важливим для забезпечення

довіри людей до інновацій, взаємозв’язку та автоматизації, отримання вигід
від них, а також для захисту основних прав і свобод, зокрема права на
приватність та захист персональних даних, а також свободу вираження
поглядів та інформації. Кібербезпека є необхідністю для мережевого зв’язку та
глобального і відкритого Інтернету, який повинен бути основою трансформації
економіки та суспільства у 2020-х роках. Вона сприяє покращенню та збільшенню
кількості робочих місць, гнучкості робочих місць, збільшенню ефективності та
стійкості транспорту та сільського господарства, а також спрощеному та
справедливішому доступу до медичних послуг. Вона також важлива для переходу
19 Див. Ландшафт загроз ENISA 2020. Також, Звіт про розслідування витоку даних Verizon за 2020
рік; https://enterprise.verizon.com/resources/reports/dbir/
20 https://ec.europa.eu/eurostat/documents/2995521/10335060/9-13012020-BP-EN.pdf/f1060f2b-
b141-b250-7f51-85c9704a5a5f
21 Програми, що вимагають гроші, використовувались для атак на лікарні та медичні записи,
наприклад у Румунії (червень 2020 р.), Дюссельдорфі (вересень 2020 р.) та Вастаамо (жовтень
2020 р.).
22 PwC, Глобальний стан інформаційної безпеки 2018; ESI Thoughtlab, Необхідність кібербезпеки,
2019.
23 Агентство ЄС з кібербезпеки, розвитку навичок кібербезпеки в ЄС: Сертифікація ступенів
кібербезпеки та бази даних вищої освіти ENISA, грудень 2019 року.

24 Держави-члени повинні надавати щорічний підсумковий звіт Групі співробітництва щодо
повідомлень, отриманих відповідно до статті 10(3) Директиви про безпеку мереж та

інформаційних систем (Директива (ЄС) 2016/1148).
25 Існують стандартні операційні процедури для налагодження взаємодопомоги між членами
мережі CSIRT.
4
до використання екологічно чистої енергії відповідно до Зеленого пакту для

Європи26, за допомогою транскордонних мереж та розумних лічильників та
уникнення непотрібного дублювання даних. Нарешті, вона важлива для
міжнародної безпеки та стабільності і розвитку економік, демократій та
суспільств у всьому світі. Таким чином, уряди, підприємства та приватні особи
повинні використовувати цифрові інструменти відповідально, вживаючи усіх
необхідних заходів безпеки. Поінформованість про кібербезпеку та цифрова
гігієна повинні бути основою цифрової трансформації повсякденної діяльності.
Нова Стратегія кібербезпеки ЄС на цифрове десятиліття є ключовим
компонентом Формування цифрового майбутнього Європи27, Плану Єврокомісії
щодо відновлення Європи28, Стратегії Союзу безпеки на 2020–2025 роки29,
Глобальної стратегії зовнішньої політики та політики безпеки ЄС30 та
Стратегічного порядку денного Європейської Ради на 2019–2024 роки31. Вона
визначає, як ЄС захищатиме своїх громадян, підприємства та установи від
кіберзагроз, і як він сприятиме міжнародній співпраці та стане лідером у
забезпеченні глобальної та відкритої мережі Інтернет.
II. ГЛОБАЛЬНЕ МИСЛЕННЯ, ЄВРОПЕЙСЬКІ ДІЇ

Ця стратегія спрямована на забезпечення глобальної та відкритої мережі
Інтернет із потужним захистом для запобігання виникнення ризиків для безпеки
та основних прав і свобод людей у Європі. Враховуючи прогрес, досягнутий під
час виконання попередніх стратегій, вона містить конкретні пропозиції щодо
розгортання трьох основних інструментів — регуляторного, інвестиційного
та політичного — для застосування у трьох сферах діяльності ЄС — (1)
стійкість, технологічний суверенітет та лідерство, (2) нарощування
оперативного потенціалу для запобігання, стримування та реагування та (3)
забезпечення глобального та відкритого кіберпростору. ЄС прагне
підтримувати цю стратегію через залучення безпрецедентного рівня
інвестицій у цифровий перехід ЄС протягом наступних семи років — що
потенційно вчетверо перевищує попередні рівні — як частину нової
технологічної та промислової політики й порядку денного щодо відновлення32.
Кібербезпека повинна бути інтегрована в усі зазначені цифрові інвестиції,
зокрема в такі ключові технології як штучний інтелект (ШІ), шифрування та
26 Зелений пакт для Європи, COM (2019) 640 остаточний.

27 Формування цифрового майбутнього Європи, COM (2020) 67 остаточний.
28 Момент Європи: Налагодження і підготовка для наступного покоління, COM (2020) 98
остаточний.
29 Стратегія Союзу безпеки ЄС на 2020–2025 роки, COM (2020) 605 остаточна.
30 https://eeas.europa.eu/topics/eu-global-strategy_en
31 https://www.consilium.europa.eu/en/press/press-releases/2019/06/20/a-new-strategic-agenda-
2019-2024/#
32 Інвестиції у весь ланцюжок постачання цифрових технологій, що сприяють цифровому переходу
або вирішенню викликів, пов’язаних із цим, повинні становити щонайменше 20% — еквівалент
134,5 млрд євро — з 672,5 млрд євро з Фонду відновлення та стійкості, що складається з грантів та
позик. Фінансування ЄС для Багаторічної фінансової структури 2021–2027 років, передбачене для
кібербезпеки в рамках Програми «Цифрова Європа», та дослідження кібербезпеки в рамках
програми «Горизонт Європи», з особливим акцентом на підтримку МСП, може становити загалом
2 млрд євро, на додачу до інвестицій держав-членів та промисловості.
5
квантові обчислення, використовуючи стимули, зобов’язання та контрольні

показники. Це може стимулювати зростання європейської галузі кібербезпеки та
забезпечити впевненість, необхідну для полегшення поступового відходу від
використання застарілих систем. Європейський оборонний фонд (EDF)
підтримуватиме європейські рішення у галузі кіберзахисту як частини
європейської оборонної технологічної та промислової бази. Кібербезпека
віднесена до зовнішніх фінансових інструментів для підтримки наших партнерів,
зокрема Інструменту сусідства, розвитку та міжнародного співробітництва.
Запобігання зловживанню технологіями, захист критичної інфраструктури та
забезпечення цілісності ланцюжків поставок також сприяє дотриманню ЄС норм,
правил та принципів відповідальної поведінки держави33.
1. СТІЙКІСТЬ, ТЕХНОЛОГІЧНА НЕЗАЛЕЖНІСТЬ ТА ЛІДЕРСТВО

Критична інфраструктура та базові послуги ЄС стають дедалі більше
взаємозалежними та цифровими. Усі підключені до Інтернету пристрої в ЄС, будь
то автоматизовані машини, системи промислового управління чи побутова
техніка, та цілі ланцюжки поставок, які роблять їх доступними, повинні бути
захищеними, стійкими до кібератак і мати здатність швидко відновлюватися у
випадку виявлення вразливих місць. Це є фундаментальним для надання
приватному та державному сектору ЄС можливості вибору з найбільш безпечних
інфраструктур та послуг. Наступне десятиліття — це можливість ЄС очолити
розвиток безпечних технологій у всьому ланцюжку поставок. Забезпечення
стійкості та посилення промислового та технологічного потенціалу в галузі
кібербезпеки має мобілізувати всі необхідні законодавчі, інвестиційні та
політичні інструменти. Кібербезпека промислових процесів, операцій та
пристроїв може зменшити ризики, потенційно знизити витрати як для компаній,
так і для суспільства в цілому, а отже, підвищити стійкість.
1.1 Стійка інфраструктура та критичні послуги

Правила ЄС щодо безпеки мережевих та інформаційних систем (МІС) є
основою Єдиного ринку кібербезпеки. Комісія пропонує реформувати зазначені
правила відповідно до переглянутої Директиви про МІС, щоб підвищити рівень
кіберстійкості всіх відповідних секторів, як державного, так і приватного,
які виконують важливу функцію для економіки та суспільства34. Перегляд
необхідний для зменшення суперечностей на внутрішньому ринку шляхом
узгодження сфери застосування, вимог щодо безпеки та звітності про події,
національного нагляду й контролю та можливостей компетентних органів.
Реформована Директива про МІС забезпечить основу для більш конкретних

правил, також необхідних для стратегічно важливих галузей, зокрема
енергетики, транспорту та охорони здоров’я. Для забезпечення послідовного
підходу, заявленого у Стратегії Союзу безпеки на 2020–2025 роки, пропонується
застосувати реформовану Директиву, а також переглянути законодавство, яке
стосується стійкості критичної інфраструктури35. Енергетичні технології, що
33 https://undocs.org/A/70/174
34 [вставити посилання на пропозицію МІС]
35 [вставити посилання на пропозицію директиви щодо стійкості критично важливих об’єктів]
6
містять цифрові компоненти, та безпека пов’язаних із ними ланцюжків поставок

важливі для безперервності надання базових послуг та для забезпечення
стратегічного контролю за критичною енергетичною інфраструктурою. Тому
Комісія запропонує заходи, зокрема «кодекс мережі», який планується ухвалити
до кінця 2022 року, та в якому будуть встановлені правила кібербезпеки,
застосовні до транскордонних потоків електроенергії. Фінансовий сектор також
повинен посилити стійкість цифрових операцій і забезпечити здатність
протистояти всім типам порушень та загроз, пов’язаних з ІКТ, як запропонувала
Комісія36. Що стосується транспортної сфери, Комісія додала положення про
кібербезпеку37 до законодавства ЄС про авіаційну безпеку та продовжуватиме
зусилля щодо підвищення кіберстійкості всіх видів транспорту. Посилення
кіберстійкості демократичних процесів та інституцій є ключовим компонентом
Європейського плану дій щодо демократії, який стосується захисту та просування
вільних виборів, а також демократичного дискурсу та плюралізму ЗМІ38. Нарешті,
що стосується безпеки інфраструктури та послуг у рамках майбутньої космічної
програми, Комісія продовжить поглиблення стратегії кібербезпеки Galileo для
наступного покоління послуг Глобальної навігаційної супутникової системи та
інших нових компонентів Космічної програми39.
1.2 Створення європейського кіберщита

З розповсюдженням пов’язаності та зростанням складності кібератак Центри
обміну інформацією та аналізу (ISAC) виконують важливу функцію, зокрема на
галузевому рівні, дозволяючи обмінюватися інформацією про кіберзагрози між
кількома зацікавленими сторонами40. Окрім цього, мережі та комп’ютерні
системи потребують постійного моніторингу та аналізу для виявлення вторгнень
та аномалій у режимі реального часу. Тому багато приватних компаній,
державних організацій та національних органів влади створили групи реагування
на загрози комп’ютерній безпеці (CSIRT) та Операційні центри безпеки, або
«ОЦБ».
Оперативні центри безпеки мають життєво важливе значення для збору даних41
та ізоляції підозрілих подій, що відбуваються в мережах зв’язку, моніторинг яких
вони здійснюють. Вони роблять це за допомогою ідентифікації сигналів і
шаблонів та вилучення даних про загрози з великої кількості даних, які потрібно
оцінити. Вони сприяли виявленню діяльності шкідливих файлів і, у свою чергу,
допомагають стримувати кібератаки. Робота в цих центрах є надзвичайно
36 Пропозиція щодо регламенту цифрової оперативної стійкості для фінансового сектору та

внесення змін до Регламентів (ЄС) № 1060/2009, (ЄС) № 648/2012, (ЄС) № 600/2014 та (ЄС)
№ 909/2014, COM/2020/595 остаточні.
37 Імплементаційний Регламент Комісії 2019/1583.
38 Повідомлення про Європейський план дій щодо демократії COM (2020) 790. Згідно з планом,
Європейська мережа співробітництва з питань виборів, виборчі мережі держав-членів

підтримуватимуть розгортання спільних експертних груп для протидії загрозам — зокрема,
кіберзагрозам — виборчим процесам; https://ec.europa.eu/info/policies/justice-and-fundamental-
rights/eu-citizenship/electoral-rights/european-cooperation-network-elections_en
39 Це включає нову урядову ініціативу супутникового зв’язку (GOVSATCOM) та космічне сміття
(SST)
40https://www.enisa.europa.eu/topics/national-cyber-security-strategies/information-sharing
41 У такий спосіб, що правоохоронні та судові органи можуть використовувати їх як докази.
7
вимогливою і швидко змінюється, тому ШІ та, зокрема, методи машинного

навчання можуть стати для практиків неоціненною підтримкою42.
Комісія пропонує створити мережу Операційних центрів безпеки по всьому

ЄС43, а також підтримати вдосконалення існуючих центрів та створення нових. Це
також сприятиме навчанню та підвищенню кваліфікації персоналу, який працює
у таких центрах. На основі аналізу потреб, проведеного з відповідними
зацікавленими сторонами за підтримки Агентства ЄС з кібербезпеки (ENISA),
вона може виділити понад 300 млн євро для підтримки державно-приватної та
транскордонної співпраці для створення національних та галузевих мереж,
залучаючи також МСП на основі відповідного управління, обміну даними та
забезпечення безпеки.
Держави-члени заохочуються до спільних інвестицій у цей проект. Тоді центри
змогли б ефективніше обмінюватися інформацією та співвідносити виявлені
сигнали й генерувати високоякісні дані про загрози, які будуть передаватися ISAC
та національним органам влади, і таким чином забезпечуватиметься повна
ситуаційна обізнаність. Метою є поступово поєднати якомога більше центрів по
всьому ЄС для створення колективних знань та обміну передовим досвідом.
Таким центрам буде надана підтримка для покращення виявлення загроз, їх
аналізу та швидкості реагування за допомогою найсучасніших можливостей
штучного інтелекту та машинного навчання, доповнених інфраструктурою
суперобчислювальної техніки, розробленою в ЄС Європейським спільним
підприємством із високопродуктивних обчислень44.
Завдяки стійкій співпраці та спільній роботі ця мережа надаватиме своєчасні
попередження щодо інцидентів у галузі кібербезпеки органам влади та всім
зацікавленим сторонам, включаючи Спільний кіберпідрозділ (див. Розділ 2.1). Це
буде справжнім щитом кібербезпеки для ЄС, забезпечуючи мережу сторожових
пунктів, здатних виявляти потенційні загрози до того, як вони зможуть завдати
масштабних збитків.
1.3 Ультрабезпечна комунікаційна інфраструктура
Урядовий супутниковий зв’язок Європейського Союзу45, що є складовою

Космічної програми, забезпечить безпечні та економічно ефективні можливості
космічного зв’язку для місій та операцій, що мають важливе значення для
безпеки та безпечності, під управлінням ЄС та його держав-членів, включаючи
національні суб’єкти безпеки та органи і установи ЄС.
42 Джерело: опитування Інституту Понемона «Поліпшення ефективності ОЦБ, 2019»; для

досліджень щодо використання ШІ в центрах безпеки, див., наприклад: Khraisat, A., Gondal, I.,
Vamplew, P. et al. Огляд систем виявлення вторгнень: методи, набори даних та проблеми,
Cybersecur 2, 20 (2019).
43 Будуть розроблені більш детальні домовленості щодо управління, принципів функціонування
та фінансування цих центрів, а також того, як вони доповнюватимуть уже існуючі структури, такі
як цифрові центри інновацій.
44 https://ec.europa.eu/digital-single-market/en/eurohpc-joint-undertaking
45 GOVSATCOM є складовою космічної програми Союзу
8
Держави-члени взяли на себе зобов’язання співпрацювати з Комісією щодо

розгортання безпечної інфраструктури квантових комунікацій (ІКК) для
Європи46. ІКК пропонує органам державної влади абсолютно новий спосіб
передачі конфіденційної інформації за допомогою надзахищеної форми
шифрування для захисту від кібератак, створеної за європейською технологією.
Вона складається з двох базових компонентів: існуючі наземні волоконно-
комунікаційні мережі, що пов’язують стратегічні об’єкти на національному та
транскордонному рівнях; та пов’язані космічні супутники, що охоплюють весь ЄС,
зокрема його заморські території47. Ця ініціатива щодо розробки та
впровадження нових та більш безпечних форм шифрування та розробки нових
способів захисту критичних комунікаційних ресурсів і ресурсів даних може
допомогти захистити конфіденційну інформацію та, в свою чергу, критичну
інфраструктуру.
У поточній ситуації й надалі Комісія вивчить можливість розгортання

багатоорбітальної системи безпечного зв’язку. На основі GOVSATCOM та ІКК вона
інтегруватиме найсучасніші технології (Quantum, 5G, ШІ, обчислювальні
технології), у рамках найбільш обмежувальної системи кібербезпеки, щоб
надавати такі безпечні послуги як надійне, безпечне та економічно вигідне
підключення та зашифроване спілкування для найважливішої державної
діяльності.
1.4 Забезпечення наступного покоління широкосмугових мобільних мереж
Громадяни та компанії ЄС, які використовують прогресивні та інноваційні
програми, що підтримують 5G та майбутні покоління мереж, повинні бути
забезпечені найвищими стандартами безпеки. Держави-члени разом із Комісією
та за підтримки ENISA розробили за допомогою Набору інструментів 5G ЄС48 від
січня 2020 року всеосяжний та об’єктивний підхід до кібербезпеки 5G на основі
ризиків, який базується на оцінці можливих планів пом’якшення наслідків та
виявлення найефективніших заходів. Більше того, ЄС консолідує свої можливості
у мережі 5G та поза нею, щоб уникнути залежностей та сприяти розвитку
стійкого та різноманітного ланцюжка поставок.
46 Декларація ЄвроІКК була підписана більшістю держав-членів, а розвиток та розгортання

інфраструктури мають відбутися у 2021–2027 роках, за фінансової підтримки програм «Горизонт
Європа», «Цифрова Європа» та Європейського космічного агентства за умови наявності
відповідних механізмів управління; https://ec.europa.eu/digital-single-market/en/news/future-
quantum-eu-countries-plan-ultra-secure-communication-network
47 Розвиток космічної складової необхідний для досягнення точкових з’єднань на довгі відстані (>
1 000 км), які наземна інфраструктура не може підтримувати. Використовуючи властивості

квантової механіки, ІКК спочатку дозволить сторонам надійно ділитися випадковим чином
згенерованими секретними ключами, які використовуватимуться для шифрування та
дешифрування повідомлень. Вона також включатиме розгортання інфраструктури тестування та
відповідності для оцінювання відповідності європейських пристроїв та систем квантового зв’язку
інфраструктурі ІКК та їх сертифікації й перевірки перед їх інтеграцією в ІКК. Вона буде
розроблена для підтримки додаткових застосунків після досягнення ними необхідного рівня
технологічної зрілості. Поточний пілотний проект OpenQKD (https://openqkd.eu/) є попередником
цієї інфраструктури тестування та встановлення відповідності.
48 Повідомлення про безпечне впровадження 5G в ЄС щодо імплементації набору інструментів ЄС,
COM (2020) 50.
9
У грудні 2020 року Комісія опублікувала звіт про вплив Рекомендації від 26
березня 2019 року на кібербезпеку мереж 5G49. У ньому зазначено, що з моменту
погодження Набору інструментів було досягнуто значного прогресу, і що
більшість держав-членів готові завершити значну частину впровадження Набору
інструментів найближчим часом, хоча і з деякими відмінностями та прогалинами,
як це було зазначено у звіті про прогрес, опублікованому в липні 2020 року50.
У жовтні 2020 року Європейська рада закликала ЄС та держави-члени «повною
мірою використовувати набір інструментів кібербезпеки 5G» та «застосовувати
відповідні обмеження щодо постачальників із високим ризиком для ключових
активів, визначених як критично важливі та чутливі в рамках оцінювання ризиків
на основі спільних об’єктивних критеріїв, координованого ЄС»51.
Заглядаючи наперед, ЄС та його держави-члени повинні забезпечити відповідне
скоординоване пом’якшення виявлених ризиків, зокрема щодо цілі мінімізації
впливу постачальників із високим ризиком та уникнення залежності від таких
постачальників на національному рівні та на рівні Союзу, а також забезпечити
врахування усіх нових значних факторів розвитку подій або ризиків. Держави-
члени заохочуються до використання Набору інструментів у своїх інвестиціях у
цифрові потужності та налагодження зв’язку.
На основі звіту про вплив Рекомендації від 2019 року Комісія закликає держави-
члени пришвидшити роботу щодо завершення впровадження основних заходів
набору інструментів до другого кварталу 2021 року. Вона також закликає
держави-члени продовжувати спільний моніторинг досягнутого прогресу та
забезпечити подальше узгодження підходів. На рівні ЄС для досягнення цього
процесу будуть переслідуватися три основні цілі: забезпечення подальшого
зближення підходів до зменшення ризиків у ЄС, підтримка постійного обміну
знаннями та нарощування потенціалу, а також сприяння забезпечення стійкості
ланцюжка поставок та досягнення інших стратегічних цілей безпеки ЄС.
Конкретні дії, пов’язані з цими ключовими цілями, викладені у спеціальному
Додатку до цього Повідомлення.
Комісія продовжуватиме тісно співпрацювати з державами-членами для

досягнення цих цілей та дій за підтримки ENISA (див. Додаток).
Крім того, підхід ЄС у рамках Набору інструментів 5G викликав інтерес у країнах,

що не входять до ЄС, які зараз розробляють свої підходи щодо захисту власних
комунікаційних мереж. Служби Комісії разом із Європейською службою зовнішніх
зв’язків та мережею представництв ЄС готові надати додаткову інформацію, на
запит органів влади в усьому світі, про такий всебічний, об’єктивний та
заснований на ризиках підхід.
49 Звіт Комісії про вплив Рекомендації Комісії від 26 березня 2019 року на кібербезпеку мереж 5G,
15 грудня 2020 року.
50 Звіт Групи співробітництва МІС про впровадження Набору інструментів від 24 липня 2020 року.
51 EUCO 13/20, Спеціальне засідання Європейської Ради (1 та 2 жовтня 2020 року) — Висновки.
10
1.5 Інтернет безпечних речей
Кожна річ у мережі має вразливі місця, які можна використати з потенційно
серйозними наслідками. Правила внутрішнього ринку включають правила щодо
захисту від небезпечних товарів та послуг. Комісія вже працює над забезпеченням
прозорих рішень щодо безпеки та сертифікації згідно із Актом про
кібербезпеку, а також над стимулюванням безпечних продуктів та послуг без
шкоди для продуктивності52. У першому кварталі 2021 року вона ухвалить свою
першу робочу програму Союзу (яка оновлюватиметься принаймні раз на три
роки), щоб дозволити промисловості, національним органам влади та органам
стандартизації заздалегідь підготуватися до майбутніх європейських схем
сертифікації кібербезпеки53. У міру розповсюдження Інтернету речей з’являється
дедалі більше норм, що підлягають виконанню, які вимагають посилення як для
забезпечення загальної стійкості, так і для підвищення кібербезпеки.
Комісія розгляне комплексний підхід, включаючи можливі нові горизонтальні

правила для покращення кібербезпеки всіх підключених продуктів та
супутніх послуг, розміщених на внутрішньому ринку54. Такі правила можуть
включати нове зобов’язання для виробників підключених пристроїв щодо
усунення вразливостей програмного забезпечення, включаючи продовження
оновлення програмного забезпечення та програм безпеки, а також забезпечення,
наприкінці життєвого циклу, видалення особистих та інших конфіденційних
даних. Такі правила підкріплять ініціативу «право на оновлення застарілого
програмного забезпечення», представлену в рамках Плану дій щодо економіки
замкнутого циклу, та доповнюють поточні заходи, що стосуються конкретних
видів продуктів, таких як обов’язкові вимоги, що будуть запропоновані для
доступу на ринок певних бездротових продуктів (шляхом ухвалення
делегованого акта відповідно до Директиви про радіообладнання55), а також з
метою впровадження правил кібербезпеки для автотранспортних засобів для всіх
нових типів транспортних засобів з липня 2022 року56. Більше того, вони
52 Регламент Європейського Парламенту і Ради (ЄС) 2019/881 від 17 квітня 2019 року про ENISA
(Агентство Європейського Союзу з кібербезпеки) та про сертифікацію кібербезпеки
інформаційних та комунікаційних технологій та про скасування Регламенту (ЄС) No 526/2013
(Акт про кібербезпеку). Акт про кібербезпеку сприяє сертифікації ІКТ на рівні ЄС, у рамках
Європейської системи сертифікації кібербезпеки для створення добровільних європейських схем
сертифікації кібербезпеки з метою забезпечення належного рівня кібербезпеки для продуктів ІКТ,
послуг ІКТ та процесів ІКТ в Союзі, а також зменшення фрагментації внутрішнього ринку в тому,
що стосується схем сертифікації кібербезпеки в Союзі. Одночасно, «рейтингові» компанії з
кібербезпеки, як правило, базуються за межами ЄС, їхня прозорість та можливості контролю за
ними обмежені; https://www.uschamber.com/issue-brief/principles-fair-and-accurate-security-ratings
53 Вимагається статтею 47(5) Акту про кібербезпеку.
54 Висновки Ради вимагають горизонтальних заходів щодо кібербезпеки підключених пристроїв;
13629/20, 2 грудня 2020 року.

55 Директива 2014/53/ЄС
56 Дотримується Регламенту ООН, ухваленого в червні 2020 року;
http://www.unece.org/fileadmin/DAM/trans/doc/2020/wp29grva/ECE-TRANS-WP29-2020-079-
Revised.pdf
11
базуватимуться на запропонованому перегляді загальних правил безпеки

продукції, які безпосередньо не стосуються аспектів кібербезпеки57.
1.6 Краща глобальна безпека Інтернету
Набір основних протоколів та допоміжна інфраструктура забезпечує

функціональність та цілісність Інтернету в усьому світі58. Цей набір включає DNS
та його ієрархічну та делеговану систему зон, починаючи з верхньої частини
ієрархії з кореневої зони та тринадцяти кореневих серверів DNS59, від яких
залежить Всесвітня павутина. Комісія має намір розробити план дій на випадок
непередбачених ситуацій, за рахунок фінансування з боку ЄС, на випадок
виникнення екстремальних сценаріїв, що впливають на цілісність та
доступність глобальної кореневої системи DNS. Вона співпрацюватиме з ENISA,
державами-членами, двома операторами кореневих серверів DNS ЄС60 та
спільнотою зацікавлених сторін, щоб оцінити роль таких операторів у
забезпеченні того, що Інтернет залишається загальнодоступним за будь-яких
обставин.
Щоб клієнт отримав доступ до ресурсу під певним доменним іменем в Інтернеті,
його запит (як правило, до Єдиного локатора ресурсів або URL-адреси) повинен
бути перетворений або «вирішений» в IP-адресу за допомогою посилання на
сервери імен DNS. Однак люди та організації в ЄС дедалі більше покладаються на
кілька публічних засобів розпізнавання DNS (DNS resolvers), які працюють у
рамках структур, що не входять до ЄС. Така консолідація розпізнавання імен DNS
у руках декількох компаній61 робить сам процес розпізнавання вразливим у разі
виникнення подій, які впливають на одного великого постачальника, що
ускладнює для владних структур ЄС вирішення можливих зловмисних кібератак
та великих геополітичних і технічних інцидентів62.
З метою зменшення проблем безпеки, пов’язаних із концентрацією на ринку,

Комісія заохочуватиме відповідні зацікавлені сторони, включаючи компанії з ЄС,
постачальників Інтернет-послуг та постачальників браузерів, ухвалити стратегію
57 Перегляд чинних загальних правил безпеки продукції (Директива 2001/95/ЄС); також

пропонуються адаптовані правила щодо відповідальності виробників у цифровому контексті в
рамках регуляторної бази ЄС щодо відповідальності.
58 «Публічне ядро відкритого Інтернету, а саме його основні протоколи та інфраструктура, що є
глобальним суспільним благом, забезпечує основну функціональність Інтернету в цілому та

підтримує його нормальну роботу. ENISA повинна підтримувати безпеку загальнодоступного ядра
відкритого Інтернету та стабільність його функціонування, включаючи, але не обмежуючись,
ключові протоколи (зокрема DNS, BGP та IPv6), роботу системи доменних імен (таких як робота
всіх доменів верхнього рівня), а також робота кореневої зони»; Висновок 23 Акту про
кібербезпеку.
59 https://www.iana.org/domains/root/servers
60 I.root-сервери, що експлуатуються Netnod у Швеції, та k.root-сервери, що експлуатуються RIPE
NCC у Нідерландах.
61 Консолідація на ринку DNS — скільки, як швидко і наскільки небезпечно? (), Докази зменшення
ентропії Інтернету — відсутність надмірності розпізнавання DNS основними веб-сайтами та

службами ( )
62 Існують також інформація, що свідчить про те, що дані DNS можна використовувати для
профілювання, що впливає на конфіденційність та право на захист даних.
12
диверсифікації розпізнавання DNS. Комісія також має намір сприяти безпечному

підключенню до Інтернету, підтримуючи розвиток державної європейської
служби розпізнавання DNS. Ця ініціатива «DNS4EU» пропонуватиме
альтернативний європейський сервіс доступу до глобальної мережі Інтернет.
DNS4EU буде прозорою, відповідатиме останнім стандартам безпеки, захисту
даних та конфіденційності за стандартами і правилами, встановленими за
промовчанням, і буде частиною Європейського промислового альянсу даних і
хмари63.
Комісія також, у взаємодії з державами-членами та промисловістю, прискорить
впровадження ключових стандартів Інтернету, включаючи IPv664 та усталені
стандарти безпеки в Інтернеті, а також передові практики щодо DNS,
маршрутизації та безпеки електронної пошти65, не виключаючи регуляторних
заходів, таких як європейське положення про обмеження строку дії IPv4 для
управління ринком, якщо процес їх ухвалення йде недостатньо швидко. ЄС
повинен сприяти (як, наприклад, згідно зі Стратегією ЄС-Африка66)
впровадженню зазначених стандартів у країнах-партнерах як спосіб підтримки
розвитку глобального та відкритого Інтернету та протидії закритим моделям
Інтернету, які базуються на жорсткому контролі. Врешті, Комісія розгляне
необхідність механізму для більш систематичного моніторингу та збору сукупних
даних про Інтернет-трафік та надання консультацій щодо потенційних збоїв67.
1.7 Посилена присутність у ланцюжку постачання технологій
Завдяки запланованій фінансовій підтримці цифрової трансформації за

принципами кібербезпеки в рамках Багаторічної фінансової бази на 2021–2027
роки, ЄС має унікальну можливість об’єднати активи для просування своєї
галузевої стратегії68 та здобуття лідерства в галузі цифрових технологій і
кібербезпеки в цифровому ланцюжку поставок (включаючи дані та хмари,
технології процесорів наступного покоління, надзахищений зв’язок та мережі 6G),
відповідно до своїх цінностей та пріоритетів. Втручання державного сектору
повинно базуватися на інструментах, передбачених нормативно-правовою базою
ЄС щодо державних закупівель, та важливих проектах, які становлять спільний
інтерес для ЄС. Крім цього, він може розблокувати приватні інвестиції за
допомогою державно-приватних партнерських відносин (зокрема, спираючись на
досвід договірного державно-приватного партнерства з питань кібербезпеки та
63 Спільна Декларація: Створення хмари наступного покоління для бізнесу та державного сектору
в ЄС; https://ec.europa.eu/digital-single-market/en/news/towards-next-generation-cloud-europe
64 Наразі розгортання IPv6 є більш розвинутим, і передбачає серйозного вичерпання пропозиції та
подорожчання адрес IPv4. Однак розгортання IPv6 в ЄС нерівномірне.

65 Такі стандарти включають DNSSEC, HTTPS, DNS через HTTPS (DoH), DNS через TLS (DoT), SPF,
DKIM, DMARC, STARTTLS, DANE та норми маршрутизації й передові практики, наприклад, Взаємно
узгоджені норми безпеки маршрутизації (MANRS).
66 Спільна комунікація щодо всеосяжної стратегії з Африкою, 09.03.2020 JOIN (2020) 4 остаточна.
67 Така «Інтернет-обсерваторія» може входити до сфери діяльності Європейського центру з
питань промислової, технологічної та дослідницької компетенції з кібербезпеки; Пропозиція щодо

Положення про створення Європейського центру з питань промислової, технологічної та
дослідницької компетенції з питань кібербезпеки та Мережі національних центрів координації,
COM (2018) 630 остаточна.
68 Повідомлення про нову промислову стратегію для Європи, COM/2020/102 остаточне.
13
його впровадження в рамках Європейської організації кібербезпеки), венчурного

капіталу на підтримку МСП або промислових альянсів та стратегій, спрямованих
на розвиток технологічних спроможностей.
Також особлива увага буде приділена Інструменту технічної підтримки69 та

найкращому використанню найновіших інструментів кібербезпеки МСП,
особливо тими, які не підпадають під дію переглянутої Директиви про МІС, у тому
числі завдяки цілеспрямованій діяльності в рамках Центрів цифрових інновацій у
рамках Програми «Цифрова Європа». Метою є залучення такого обсягу інвестицій
з боку держав-членів, який би відповідав обсягу інвестицій у галузі в рамках
партнерства, яке спільно регулюється державами-членами в запропонованому
Центрі компетентності з питань індустрії, технологій та досліджень в галузі
кібербезпеки та Мережі координаційних центрів (CCCN). CCCN, за участі
промислових та наукових співтовариств, повинні відігравати ключову роль у
розвитку технологічного суверенітету ЄС у галузі кібербезпеки, нарощуванні
спроможності захистити чутливі інфраструктури, такі як 5G, та зменшити
залежність від інших частин світу в питанні доступу до найважливіших
технологій.
Комісія має намір підтримати, потенційно разом із CCCN, розробку спеціальної

магістерської програми з кібербезпеки та внести свій внесок у спільну
європейську Дорожню карту з питань кібербезпеки та інновацій на період до
2020 року. Інвестиції через CCCN також будуть спрямовані на розвиток співпраці
в галузі досліджень та розробок, що здійснюється мережами центрів досконалості
в галузі кібербезпеки, яка об’єднує найкращі європейські дослідницькі групи з
промисловістю для розробки та впровадження спільних програм досліджень
відповідно до дорожньої карти Європейської організації з кібербезпеки.70. Комісія
продовжуватиме спиратися на дослідницьку роботу, проведену ENISA та
Європолом, а також продовжуватиме підтримувати, як частину Horizon Europe,
окремих новаторів у галузі Інтернету, які розробляють технології підвищення
рівня конфіденційності та безпечні комунікації на базі програмного й апаратного
забезпечення з відкритим кодом, як це наразі відбувається в рамках Інтернет-
ініціатив наступного покоління.
1.8 Кваліфікована у кіберсфері робоча сила ЄС
Зусилля ЄС щодо підвищення кваліфікації робочої сили, розвитку, залучення та

збереження найкращих талантів у галузі кібербезпеки та інвестування у
дослідження й інновації світового класу становлять важливий компонент
загального захисту від кіберзагроз. Це галузь із величезним потенціалом. Отже,
особлива увага повинна бути приділена розвитку, залученню та збереженню
різноманітних талантів. Переглянутий План дій щодо цифрової освіти підвищить
рівень обізнаності щодо кібербезпеки серед людей, особливо дітей та молоді, та
організацій, особливо МСП71. Це також сприятиме участі жінок у таких сферах як
наука, технології, техніка та математика (STEM) та підвищенню кваліфікації та
перекваліфікації робочих місць в ІКТ у галузі цифрових навичок. Крім того,
69 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2020:0409:FIN .
70 https://ecs-org.eu/working-groups/wg6-sria-and-cyber-security-technologies
71 https://ec.europa.eu/education/education-in-the-eu/digital-education-action-plan_en
14
Комісія спільно з Управлінням інтелектуальної власності ЄС при Європолі, ENISA,

державами-членами та приватним сектором розроблятиме інструменти
підвищення обізнаності та настанови для підвищення стійкості підприємств ЄС
проти крадіжок інтелектуальної власності, що здійснюються за допомогою
кіберінструментів72.
Освіта — зокрема професійна освіта та професійно-технічна підготовка (ПТО),

обізнаність та навчання — також повинна підвищувати кібербезпеку та навички
кіберзахисту в ЄС. Із цією метою відповідні актори ЄС, такі як ENISA, Європейське
оборонне агентство (EDA), Європейський коледж безпеки та оборони (ESDC)73
повинні шукати способів досягти синергії між своєю діяльністю.
Стратегічні ініціативи
ЄС повинен забезпечити:
• Ухвалення переглянутої Директиви про МІС;
• Нормативні заходи щодо Інтернету безпечних речей;
• Завдяки інвестиціям CCCN у кібербезпеку (зокрема, за допомогою програми

«Цифрова Європа», «Горизонт Європи» та Фонду відновлення) досягнення
4,5 млрд євро державних та приватних інвестицій протягом 2021–2027
років;
• Мережу ЄС з оперативними центрами з підтримкою ШІ та надбезпечну

комунікаційну інфраструктуру, що використовує квантові технології;
• Широке впровадження технологій кібербезпеки завдяки спеціальній

підтримці МСП в рамках Центрів цифрових інновацій;
• Створення європейської служби розпізнавання DNS як безпечної та

відкритої альтернативи доступу до Інтернету для громадян, підприємств та
державних адміністрацій ЄС; і
• Завершення впровадження набору інструментів 5G до другого кварталу

2021 року (див. Додаток).
2. РОЗВИТОК ОПЕРАЦІЙНИХ СПРОМОЖНОСТЕЙ ДЛЯ ЗАПОБІГАННЯ,

СТРИМУВАННЯ ТА РЕАГУВАННЯ
Кіберінциденти, як випадкові, так і навмисні дії злочинців, державних та інших
недержавних суб’єктів, можуть завдати величезної шкоди. Їхні масштаб та
складність, часто пов’язані з використанням послуг третіх осіб, обладнання та
програмного забезпечення для здійснення негативного впливу на кінцеву ціль,
ускладнюють протидію колективним загрозам у ЄС за відсутності
систематичного та всебічного обміну інформацією та співпраці з метою спільного
протистояння загрозам. За допомогою повноцінної імплементації
72 https://ec.europa.eu/commission/presscorner/detail/en/IP_20_2187
73 За допомогою платформи навчальних вправ та оцінювання кіберосвіти (ETEE).
15
регуляторних інструментів, мобілізації та співпраці ЄС прагне отримати

підтримку держав-членів для захисту своїх громадян, а також їхніх економічних
інтересів та національних інтересів безпеки, дотримуючись основних прав і
свобод та принципів верховенства права. Кілька громад, що складаються з мереж,
установ, органів та агентств ЄС, а також органів держав-членів, відповідають за
запобігання, попередження, стримування та реагування на кіберзагрози,
використовуючи відповідні інструменти та ініціативи74. Ці громади включають:
(i) органи МІС, такі як групи реагування на загрози безпеці обчислювальних
систем, та реагування на надзвичайні ситуації; (ii) правоохоронні та судові
органи; (iii) кібердипломатію; та (iv) кіберзахист.
2.1 Спільний відділ боротьби з кіберзлочинністю

Спільний відділ боротьби з кіберзлочинністю слугуватиме віртуальною та
фізичною платформою для співпраці для різних спільнот кібербезпеки в ЄС, із
акцентом на оперативну та технічну координацію для боротьби з головними
транскордонними кіберінцидентами та загрозами.
Спільний відділ боротьби з кіберзлочинністю стане важливим кроком на шляху

до завершення європейської системи управління кризами в галузі
кібербезпеки. Як зазначено в Політичних настановах президента Комісії75, відділ
повинен надавати можливість державам-членам та установам, органам та
агентствам ЄС повною мірою використовувати існуючі структури, ресурси та
можливості, а також сприяти формуванню думки про необхідність обміну та
співпраці. Він забезпечить засоби для консолідації досягнутого наразі прогресу в
реалізації Рекомендації 2017 року щодо скоординованого реагування на
масштабні інциденти та кризи в галузі кібербезпеки («Проект»)76. Він також
забезпечить можливість подальшого зміцнення співпраці в галузі архітектури
Проекту та використання прогресу, досягнутого, зокрема, у рамках Групи
співпраці МІС та Мережі CyCLONe.
Це може вирішити дві основні проблеми, які наразі збільшують вразливість і є

причиною неефективності в рамках вирішення транскордонних загроз та
інцидентів, що впливають на Союз. По-перше, цивільні, дипломатичні,
правоохоронні та оборонні спільноти кібербезпеки ще не мають спільного
простору для розвитку структурованої співпраці та сприяння оперативно-
74 Зокрема, підтримка Європейського агентства з кібербезпеки (ENISA) оперативної співпраці та

врегулювання криз; мережа груп реагування на загрози безпеці обчислювальних систем; Мережа
організації зв’язку щодо кіберкриз (CyCLONe, яка стане ЄС-CyCLONe, як пропонується згідно з
переглянутою Директивою про МІС); Група співпраці МІС; «RescEU»; Європейський центр
кіберзлочинності та Спільна робоча група з питань боротьби з кіберзлочинністю при Європолі і
Протокол про надзвичайне реагування правоохоронних органів; Розвідувальний та ситуативний
центр ЄС (EU INTCEN) та Інструментарій кібердипломатії); Єдиний механізм аналізу розвідданих
(SIAC); кіберпроекти в рамках Постійного структурованого співробітництва (PESCO), зокрема
«Групи швидкого реагування на кіберінциденти та взаємодопомога з питань кібербезпеки»
(CRRT).
75 «Союз, який прагне більшого: Мій порядок денний для Європи», Політичні настанови для
наступної Європейської Комісії 2019–2024 років від кандидата у президенти Єврокомісії Урсули
фон дер Леєн
76 Рекомендація для Проекту C (2017) 6100 остаточна від 13.09.2017 р. щодо скоординованого
реагування на масштабні інциденти та кризи в галузі кібербезпеки.
16
технічній співпраці. По-друге, відповідні зацікавлені сторони в галузі

кібербезпеки ще не змогли використати весь потенціал оперативної співпраці та
взаємодопомоги в рамках існуючих мереж та громад. До цього включається
відсутність платформи, яка б забезпечила оперативну співпрацю з приватним
сектором. Відділ покращить та пришвидшить координацію й дозволить ЄС
протистояти масштабним кіберінцидентам та кризам і реагувати на них.
Спільний відділ боротьби з кіберзлочинністю не буде додатковим, самостійним

органом, не втручатиметься у компетенції та повноваження національних органів
з кібербезпеки або учасників ЄС. Радше, відділ діятиме як допоміжний орган, у
якому учасники зможуть здобути підтримку та досвід один одного, особливо у
випадках, коли різні кіберспільноти повинні тісно співпрацювати. Водночас
нещодавні події свідчать про необхідність підвищення рівня амбіцій та
готовності ЄС протистояти загрозам і реаліям кіберпростору. Таким чином,
частиною внеску суб’єктів ЄС (Комісії, агентств та органів ЄС) у роботу Спільного
відділу боротьби з кіберзлочинністю буде готовність значно збільшити свої
ресурси та можливості, щоб підвищити свою підготовленість та стійкість.
Спільний відділ боротьби з кіберзлочинністю виконуватиме три основні
завдання. По-перше, він забезпечить готовність усіх кіберспільнот; по-друге,
завдяки обміну інформацією він забезпечить наявність спільного розуміння
ситуації; по-третє, він посилить скоординованість реакції та процес відновлення.
Для виконання зазначених завдань Відділ у своїй роботі повинен спиратися на
чітко визначені блоки та цілі, такі як гарантування безпечного та швидкого
обміну інформацією, поліпшення співпраці між учасниками, включаючи
взаємодію між державами-членами та відповідними структурами ЄС, створення
структурованого партнерства з надійними представниками галузі та сприяння
формуванню скоординованого підходу до співпраці із зовнішніми партнерами.
З цією метою, базуючись на визначенні наявних можливостей на національному
рівні та на рівні ЄС, Відділ міг би сприяти розробці рамок співпраці.
Для того щоб Спільний відділ боротьби з кіберзлочинністю став основою

оперативної співпраці з питань кібербезпеки в ЄС, Комісія співпрацюватиме з
державами-членами та відповідними установами, органами та агентствами ЄС,
включаючи ENISA, CERT-EU та Європол, для сприяння поступальному та
інклюзивному підходу, з дотриманням компетенції та мандатів усіх причетних
сторін. Відповідно до цього підходу, Відділ може сприяти подальшій співпраці між
учасниками певної кіберспільноти, якщо такі учасники вважають це необхідним.
Запропоновано чотири основні кроки для створення Спільного відділу боротьби з

кіберзлочинністю:
• Визначити, ідентифікувавши наявні можливості на національному рівні та

на рівні ЄС;
• Підготуватися, встановивши основу для структурованої співпраці та

допомоги;
• Розгорнути, використовуючи структуру, спираючись на ресурси, надані

учасниками для початку роботи Спільного відділу боротьби з
кіберзлочинністю;
17
• Розширити, за рахунок посилення спроможності реагувати за участю

представників галузі та партнерів.
Спираючись на результати консультацій із державами-членами, установами,
органами та агентствами ЄС77, Комісія за участю Верховного представника,
відповідно до його компетенції, до лютого 2021 року представить процес, етапи
та графік для визначення, підготовки, розгортання та розширення Спільного
відділу боротьби з кіберзлочинністю.
2.2 Боротьба з кіберзлочинністю

Наша залежність від Інтернет-інструментів пропорційно збільшила можливості
для атаки кіберзлочинців і призвела до ситуації, коли розслідування майже всіх
видів злочинів включає цифрову складову. Крім того, ключовим частинам нашого
суспільства загрожують кіберактори, а також ті, хто використовує
кіберінструменти для планування та здійснення своїх незаконних дій. Отже,
існують тісні зв’язки із загальною політикою безпеки ЄС, що відображено в
кіберелементах Стратегії Союзу безпеки на 2020 рік та у Програмі боротьби з
тероризмом ЄС78.
Ефективна боротьба з кіберзлочинністю є ключовим фактором забезпечення

кібербезпеки: стримування неможливо досягти лише стійкістю, воно також
вимагає виявлення та переслідування злочинців. Тому важливо сприяти
співпраці та обміну інформацією між акторами у сфері кібербезпеки та
правоохоронними органами. Таким чином, на рівні ЄС Європолу та ENISA вже
налагодили міцну співпрацю, організовуючи спільні конференції та семінари та
надаючи спільні звіти про загрози кібербезпеки та технологічні виклики Комісії,
державам-членам та іншим зацікавленим сторонам. Комісія продовжуватиме
підтримувати цей інтегрований підхід, щоб забезпечити узгоджену та ефективну
реакцію, базуючись на всеосяжній інформаційній картині.
Як один із важливих елементів такої реакції, органам влади ЄС та національним
органам необхідно розширити та вдосконалити спроможність правоохоронних
органів розслідувати кіберзлочини, із дотриманням основних прав та
необхідного балансу між різними правами та інтересами. ЄС повинен мати змогу
боротися з кіберзлочинністю за допомогою повністю імплементованого
законодавства, що відповідає певним цілям, у якому особлива увага буде
приділена боротьбі з сексуальним насильством над дітьми в Інтернеті та
цифровим розслідуванням, зокрема злочинності у даркнеті. Правоохоронні
органи повинні бути повністю оснащені для проведення цифрових розслідувань.
Тому Комісія запропонує план дій для поліпшення цифрового потенціалу
правоохоронних органів шляхом забезпечення їх необхідними навичками та
інструментами. Крім того, Європол і надалі розвиватиме свою роль як центру
експертизи для підтримки національних правоохоронних органів у боротьбі зі
77 Консультації держав-членів (у тому числі під час навчань Blue OLEx20, на яких зібралися
керівники національних органів з кібербезпеки), установ, органів та агентств ЄС, проведені в
період з липня по листопад 2020 року.
78 Комунікація Програми боротьби з тероризмом ЄС: Передбачити, запобігти, захистити,
відповісти, 09.12.2020 р., COM (2020) 795 остаточна.
18
злочинами, пов’язаними з кіберсферою, сприяючи визначенню загальних

криміналістичних стандартів (за допомогою Інноваційної лабораторії та хабу
Європолу). Усі зазначені заходи потребують відповідного залучення держав-
членів, яких заохочують використовувати національні програми Фонду
внутрішньої безпеки та пропонувати свої проекти в рамках збору пропозицій як
частини Тематичного механізму.
Комісія використовуватиме всі відповідні засоби, включаючи процедури щодо

порушення, щоб забезпечити повне транспонування та імплементацію
Директиви 2013 року про атаки на інформаційні системи79, зокрема надання
статистичних даних державами-членами. Це сприятиме запобіганню
зловживанню доменними іменами, у тому числі, де це доречно, для
розповсюдження незаконного контенту, та забезпечить наявність точних даних
про реєстрацію, шляхом взаємодії з Інтернет-корпорацією з присвоєння імен та
номерів (ICANN) та іншими зацікавленими сторонами системи управління
мережею Інтернет, зокрема через Робочу групу з питань громадської безпеки
Урядового дорадчого комітету ICANN. Відповідно, пропозиція в переглянутій
Директиві МІС передбачає підтримку роботи точних і повних баз даних доменних
імен та реєстраційних даних, або «даних WHOIS», та надання законного доступу
до таких даних, що є важливим для забезпечення безпеки, стабільності та
стійкості DNS.
Комісія також продовжуватиме працювати над забезпеченням відповідних
каналів та роз’ясненням правил для отримання транскордонного доступу до
електронних доказів для розслідування кримінальних справ (необхідних у 85%
розслідувань, причому 65% від загальної кількості запитів надходить до
постачальників послуг, що відносяться до іншої юрисдикції), сприяючи
ухваленню та подальшому впровадженню «пакету щодо електронних доказів» та
практичних заходів80. Швидке ухвалення Європейським Парламентом і Радою
пропозицій щодо електронних доказів є ключовим для забезпечення практиків
ефективними механізмами для роботи. Електронні докази повинні бути
доступними для читання, отже Комісія продовжуватиме працювати над
підтримкою правоохоронного потенціалу в галузі цифрових розслідувань,
зокрема в питанні про шифрування у кримінальних справах, зберігаючи при
цьому свою функцію захисту основних прав та кібербезпеки.
2.3 Набір інструментів кібердипломатії ЄС
ЄС використовує свій набір інструментів кібердипломатії81 для запобігання,

протидії, стримування та реагування на зловмисну кібердіяльність. Після
79 Директива 2013/40/ЄС про атаки на інформаційні системи.

80 COM (2018) 225 та 226; C (2020) 2779 остаточні. Зокрема, нещодавно проект SIRIUS отримав
додаткове фінансування в рамках Інструменту партнерства для вдосконалення каналів для
отримання законного транскордонного доступу до електронних доказів для розслідування
кримінальних справ (необхідних у 85% розслідувань серйозних злочинів, причому 65% від
загальної кількості запитів надходить до постачальники послуг, що відносяться до іншої
юрисдикції), та встановлення спільних правил на міжнародному рівні.
81 https://www.consilium.europa.eu/en/press/press-releases/2017/06/19/cyber-diplomacy-toolbox/
19
створення правової бази для застосування цілеспрямованих обмежувальних

заходів проти кібератак у травні 2019 року82, ЄС визначив шість осіб та три
суб’єкти, відповідальні за кібератаки, що впливають на ЄС та його держави-члени
в липні 2020 року.83. Ще дві особи та один орган були визначені в жовтні 2020
року84. Протидія зловмисній кібердіяльності, зокрема діяльності, яка
здійснюється протягом довгого періоду часу, повинна здійснюватися шляхом
ефективної та всебічної спільної дипломатичної реакції ЄС, із використанням
усього спектру заходів, доступних на рівні ЄС.
Швидка та ефективна спільна дипломатична реакція ЄС вимагає твердої спільної
ситуативної обізнаності та здатності швидко підготувати спільну позицію ЄС.
Верховний представник Союзу із закордонних справ та політики безпеки
заохочуватиме та сприятиме створенню робочої групи держав-членів ЄС з
питань кіберрозвідки, яка стане частиною Розвідувального та ситуативного
центру ЄС (INTCEN) для просування стратегічної співпраці у сфері розвідки щодо
кіберзагроз та діяльності у кіберсфері. Ця робота надалі підтримуватиме
ситуативну обізнаність та прийняття рішень щодо спільної дипломатичної
відповіді в ЄС. Робоча група повинна взаємодіяти з існуючими структурами 85,
включаючи, де це необхідно, ті, що працюють над ширшою загрозою гібридного
та іноземного втручання, для збору інформації та оцінювання ситуативної
обізнаності.
Щоб посилити свою здатність запобігати, протидіяти, стримувати та реагувати на
зловмисну поведінку в кіберпросторі, Верховний представник за участю Комісії
та відповідно до своїх повноважень представить пропозицію для ЄС щодо
подальшого визначення його позиції щодо кіберстримування. Базуючись на
попередній роботі в рамках набору інструментів кібердипломатії, позиція
повинна сприяти відповідальній поведінці та співпраці держав у кіберпросторі, а
також повинна давати конкретні вказівки щодо протидії тим кібератакам, які
мають найбільш значний ефект, особливо тим, що спрямовані проти нашої
82 Рішення Ради (СЗБП) 2019/797 від 17 травня 2019 року щодо обмежувальних заходів проти
кібератак, які загрожують Союзу або його державам-членам (ОВ L 129I, 17.05.2019, с. 13); та
Регламент Ради (ЄС) 2019/796 від 17.05.2019 року щодо обмежувальних заходів проти кібератак,
що загрожують Союзу або його державам-членам (ОВ L 129I, 17.05.2019, с. 1) 1)
83 Рішення Ради (СЗБП) 2020/1127 від 30 липня 2020 року про внесення змін до Рішення (СЗБП)
2019/797 щодо обмежувальних заходів проти кібератак, що загрожують Союзу або його
державам-членам (ST/9564/2020/INIT) (ОВ L 246, 30.07. 2020, с. 12–17); та Імплементаційний
Регламент Ради (ЄС) 2020/1125 від 30 липня 2020 року про імплементацію Регламенту (ЄС)
2019/796 щодо обмежувальних заходів проти кібератак, що загрожують Союзу або його
державам-членам (ST/9568/2020/INIT) (ОВ L 246, 30.07.2020, с. 4–9).
84 Рішення Ради (СЗБП) 2020/1537 від 22 жовтня 2020 року про внесення змін до Рішення (СЗБП)
2019/797 щодо обмежувальних заходів проти кібератак, які загрожують Союзу або його
державам-членам (ОВ L 351I, 22.10.2020, с. 5–7); та Імплементаційний Регламент Ради (ЄС)
2020/1536 від 22 жовтня 2020 року про імплементацію Регламенту (ЄС) 2019/796 щодо
обмежувальних заходів проти кібератак, що загрожують Союзу або його державам-членам (ОВ L
351I, 22.10.2020, с. 1–4).
85 Такі, як Єдиний механізм аналізу розвідданих ЄС (SIAC), і, де це необхідно, відповідні проекти,
створені в рамках PESCO, а також Система швидкого сповіщення 2018 року (RAS), створена для
підтримки загального підходу ЄС до вирішення проблем дезінформації.
20
критичної інфраструктури, демократичних інститутів та процесів86, а також

атакам на ланцюжки поставок та крадіжкам інтелектуальної власності, що
здійснюються за допомогою кіберінструментів. Позиція повинна окреслити, як ЄС
та держави-члени можуть використовувати свої політичні, економічні,
дипломатичні, правові та стратегічні засоби комунікації проти зловмисної
кібердіяльності, а також розглянути питання, як ЄС та держави-члени можуть
розвивати свою здатність протистояти зловмисній кібердіяльності. Крім того,
Верховний представник разом із Радою та Комісією прагне розробити додаткові
заходи в рамках набору інструментів кібердипломатії, включаючи можливість
додаткових варіантів обмежувальних заходів, а також шляхом дослідження
можливості голосування кваліфікованою більшістю (ГКБ) для включення до
списків застосування горизонтальних санкцій проти кібератак. Крім того, ЄС
повинен докласти подальших зусиль для зміцнення співпраці з міжнародними
партнерами, включаючи НАТО, для просування спільного розуміння ландшафту
загроз, розробки механізмів співпраці та визначення спільних дипломатичних
відповідей.
Верховний представник, за участю Комісії, також запропонує оновлення
керівних настанов набору інструментів кібердипломатії87, у тому числі з
метою підвищення ефективності процесу прийняття рішень, і продовжуватиме
організовувати навчання, а також проводити регулярні оцінювання набору
інструментів кібердипломатії. Крім того, ЄС і надалі інтегруватиме набір
інструментів кібердипломатії у кризові механізми ЄС, шукатиме способів
досягнення синергії із зусиллями для протидії гібридним загрозам, дезінформації
та втручанню з боку іноземних держав відповідно до Спільного плану дій щодо
протидії гібридним загрозам88 та Європейського плану дій щодо демократії. У
цьому контексті ЄС повинен розглянути взаємодію між набором інструментів
кібердипломатії та можливим застосуванням статті 42.7 ДЄС та статті 222 ДФЄС89.
2.4 Посилення можливостей кіберзахисту
ЄС та держави-члени повинні підвищити свою здатність запобігати та реагувати

на кіберзагрози відповідно до рівня амбіцій ЄС, що випливає з Глобальної
стратегії ЄС 2016 року90. З цією метою Верховний представник разом із Комісією
представить огляд Рамкової політики з питань кіберзахисту (РППК) для
посилення подальшої координації та співпраці між акторами ЄС91, а також між
державами-членами, зокрема щодо місій та операцій у рамках Спільної політики
безпеки та оборони (СПБО). РППК повинна інформувати майбутній Стратегічний
86 Зокрема, шляхом пошуку взаємодії з ініціативами, передбаченими Європейським планом дій

щодо демократії.
87 13007/17
88 https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52016JC0018&from=EN
89 Відповідно пункту про взаємний захист, пункт про солідарність.
90 Висновки Ради (14149/16) щодо імплементації Глобальної стратегії ЄС у галузі безпеки та
оборони.
91 Зокрема, Європейська служба зовнішніх справ (ЄСЗС), включаючи військовий штаб ЄС (EUMS),
Європейський коледж безпеки та оборони (ESDC), Комісію та агентства ЄС, зокрема Європейське
оборонне агентство (ЄОА).
21
компас92, забезпечуючи подальшу інтеграцію кібербезпеки та кіберзахисту в

ширший порядок денний безпеки та оборони.
У 2018 році ЄС визначив кіберпростір як сферу діяльності93. Майбутній документ

«Військове бачення та стратегія щодо кіберпростору як сфери операцій»
Військового комітету ЄС повинен додатково визначити, як кіберпростір як сфера
діяльності впливає на військові місії та операції в рамках СПБО ЄС. Військова
мережа CERT94, створена Європейським оборонним агентством (ЄОА), надалі
сприятиме значному посиленню співпраці між державами-членами. Крім того,
для забезпечення кібербезпеки критично важливих космічних інфраструктур, за
які відповідає Космічна програма, буде посилено Європейське агентство з
космічної програми та, зокрема, Центр моніторингу безпеки «Галілео», а його
мандат буде розширений на інші критичні активи Космічної програми.
ЄС та держави-члени заохочують розвиток надсучасних можливостей

кіберзахисту за допомогою різних політик та інструментів ЄС, зокрема РППК, і,
де це доречно, спираючись на роботу ЄОА. Це вимагає сконцентрувати увагу на
розробці та використанні ключових технологій, таких як ШІ, шифрування та
квантові обчислення. Відповідно до пріоритетів розвитку потенціалу ЄС у 2018
році95 та базуючись на висновках першого повного Координованого щорічного
звіту про оборону (КЩЗО)96, ЄС і надалі сприятиме співпраці між державами-
членами в галузі досліджень, інновацій та розвитку потенціалу у сфері
кібербезпеки, заохочуючи держави-члени використовувати весь потенціал
Постійного структурованого співробітництва (PESCO)97 та EDF98.
Майбутній План дій Комісії щодо взаємодії між цивільною, оборонною та
космічною галузями, який буде представлений у першому кварталі 2021 року,
включатиме діяльність для подальшої підтримки взаємодії на рівні програм,
технологій, інновацій та стартапів згідно з управлінням відповідними
програмами99.
Крім того, будуть розроблені відповідні синергії та інтерфейси між ініціативами з

кіберзахисту, що просуваються в рамках інших проектів, зокрема спільними
92 Висновки Ради з питань безпеки та оборони від 17 червня 2020 року (8910/20)
93 https://data.consilium.europa.eu/doc/document/ST-14413-2018-INIT/en/pdf
94 Створення військової мережі CERT ЄС відповідає завданню, визначеному в Рамковій політиці з
питань кіберзахисту 2018 року, і спрямоване на сприяння активній взаємодії та обміну

інформацією між військовими групами реагування на надзвичайні ситуації держав-членів ЄС.
95 У червні 2018 року держави-члени в рамках Керівної ради ЄОА домовились спільно направляти
співпрацю в галузі оборони на рівні ЄС.

96 Затверджено міністрами оборони в рамках Керівної ради ЄОА у листопаді 2020 року.
https://www.eda.europa.eu/what-we-do/our-current-priorities/coordinated-annual-review-on-defence-
(card)
97 Наразі існує кілька проектів PESCO, пов’язаних з кіберсферою, зокрема платформа обміну
інформацією про кіберзагрози та реагування на інциденти, групи швидкого реагування на

кіберінциденти та взаємодопомоги в галузі кібербезпеки, Центр кібернетичних досліджень та
інновацій ЄС та Центр координації кібер- та інформаційних доменів (CIDCC).
98 У рамках EDF Комісія вже визначила можливості для спільних досліджень та розробок у галузі
кіберзахисту, спрямованих на посилення співпраці, інноваційного потенціалу та

конкурентоспроможності оборонної промисловості.
99 Такими як «Горизонт Європа», «Цифрова Європа» та EDF.
22
кіберпроектами100, що імплементуються державами-членами в рамках PESCO, а

також зі структурами кібербезпеки ЄС, для підтримки обміну інформацією та
забезпечення загальної взаємної підтримки.
ЄС повинен:
• Завершити створення європейської системи управління кризовими

ситуаціями в галузі кібербезпеки та визначити процес, етапи й терміни
створення Спільного відділу боротьби з кіберзлочинністю;
• Продовжувати впровадження порядку денного щодо кіберзлочинності
згідно зі Стратегією Союзу безпеки;
• Заохочувати та сприяти створенню робочої групи з питань кіберрозвідки
держав-членів, яка стане частиною Розвідувального та ситуативного центру
ЄС INTCEN;
• Просувати позицію ЄС щодо кіберстримування для запобігання, протидії,
стримування та реагування на зловмисну кібердіяльність;
• Переглянути основи політики в галузі кіберзахисту;
• Сприяти розробці «Військового бачення та стратегії щодо кіберпростору як
сфери операцій» ЄС для військових місій та операцій СПБО;
• Підтримувати взаємодії між цивільною, оборонною та космічною галузями;
і
• Посилити кібербезпеку критично важливих космічних інфраструктур у
рамках Космічної програми.
3. РОЗШИРЕННЯ ГЛОБАЛЬНОГО ТА ВІДКРИТОГО КІБЕРПРОСТОРУ
ЄС продовжуватиме співпрацювати з міжнародними партнерами для просування
політичної моделі та бачення кіберпростору, заснованих на верховенстві права,
правах людини, основних свободах та демократичних цінностях, що сприяють
соціальному, економічному та політичному розвитку в усьому світі, а також
сприяють створенню Союзу безпеки. Міжнародна співпраця має важливе
значення для збереження глобального, відкритого, стабільного та безпечного
кіберпростору. З цією метою ЄС продовжуватиме співпрацювати з третіми
країнами, міжнародними організаціями, а також спільнотою з багатьма
зацікавленими сторонами, розробляти та реалізовувати послідовну та цілісну
міжнародну кіберполітику, пам’ятаючи про зростаючий взаємозв’язок між
економічними аспектами нових технологій, внутрішньою безпекою та
зовнішньою політикою, політику безпеки та оборони. ЄС, як потужний
економічний та торговий блок, існування якого базується на основних
демократичних цінностях, повазі до верховенства права та основних прав, також
має унікальну можливість взяти участь у визначенні та просуванні міжнародних
норм і стандартів.
100 https://pesco.europa.eu/
23
3.1. Лідерство ЄС у питанні визначення стандартів, норм та рамок у

кіберпросторі
Активізація міжнародної стандартизації

Щоб просувати та захищати своє бачення кіберпростору на міжнародному рівні,
ЄС потрібно активізувати свою участь і лідерство в міжнародних процесах
стандартизації, розширити своє представництво в міжнародних та
європейських органах стандартизації, а також в інших організаціях, що
займаються розробкою стандартів101. Оскільки цифрові технології
розвиваються швидкими темпами, міжнародні стандарти набувають дедалі
більшого значення як такі, що доповнюють традиційні регуляторні механізми в
таких сферах як ШІ, хмари, квантові обчислення та квантові комунікації. Треті
країни дедалі частіше використовують міжнародну стандартизацію для
просування своїх політичних та ідеологічних програм, що часто не відповідають
цінностям ЄС. Крім того, зростає ризик появи конкуруючих баз міжнародної
стандартизації, що призводить до фрагментації.
Формування міжнародних стандартів у сферах нових технологій та базової

архітектури Інтернету відповідно до цінностей ЄС є важливим для забезпечення
того, щоб Інтернет залишався глобальним та відкритим, щоб технології були
орієнтованими на людину, збереження конфіденційності, а їх використання було
законним, безпечним та етичним. Як частину своєї майбутньої Стратегії
стандартизації, ЄС визначить свої завдання щодо міжнародної стандартизації і
проведе активну та скоординовану інформаційну кампанію з метою їх
просування на міжнародному рівні. Необхідно прагнути до більш тісної співпраці
та розподілу тягаря з партнерами-однодумцями та європейськими
зацікавленими сторонами.
Заохочення відповідальної поведінки держав у кіберпросторі
ЄС продовжує співпрацювати з міжнародними партнерами для заохочення та

просування глобального, відкритого, стабільного та безпечного кіберпростору, у
якому будуть дотримуватися принципи міжнародного права, зокрема Статут
ООН102, а також добровільні необов’язкові норми, правила та принципи
відповідальної поведінки держави103. З погіршенням ефективних
багатосторонніх дебатів щодо міжнародної безпеки в кіберпросторі, з’явилася
чітка необхідність для ЄС та держав-членів зайняти більш активну позицію в
дискусіях в ООН та інших відповідних міжнародних форумах. ЄС має найкращі
можливості для просування, координації та консолідації позицій держав-
101 Наприклад, Міжнародна організація стандартизації (МОС), Міжнародна електротехнічна

комісія (МЕК), Міжнародний союз електрозв’язку (МСЕ), Європейський комітет зі стандартизації
(CEN), Європейський комітет з електротехнічної стандартизації (CENELEC), Європейський
інститут телекомунікаційних стандартів (ETSI), Робоча група з питань Інтернету (IETF), Проект
партнерства третього покоління (3GPP) та Інститут інженерів електротехніки та електроніки
(IEEE).
102 https://www.un.org/en/sections/un-charter/un-charter-full-text/
103 Як відображено у відповідних звітах груп урядових експертів щодо розвитку в галузі
інформації та телекомунікацій у контексті міжнародної безпеки (UNGGE), схвалених Генеральною

Асамблеєю ООН, зокрема у звітах за 2015, 2013 та 2010 роки.
24
членів на міжнародних форумах, і він повинен виробити спільну позицію ЄС

щодо застосування міжнародного права у кіберпросторі. Верховний
представник разом із державами-членами також прагне висунути свою
комплексну пропозицію, ухвалену на основі консенсусу, щодо політичних
зобов’язань у рамках Програми дій із заохочення відповідальної поведінки
держав у кіберпросторі (ПД)104 в ООН. Спираючись на існуючу нормативно-
правову базу, затверджену Генеральною Асамблеєю ООН105, у ПД пропонується
створити платформу для співпраці та обміну найкращими практиками в рамках
ООН, а також створити механізм для застосування на практиці норм
відповідальної поведінки держави та сприяння розбудові потенціалу. Крім того,
Верховний представник має на меті посилити й заохотити впровадження заходів
зміцнення довіри між державами, включаючи обмін найкращими практиками на
регіональному та багатосторонньому рівнях та сприяння міжрегіональній
співпраці.
Посилення глобальних зв’язків не повинно призводити до цензури, масового

нагляду, порушення конфіденційності даних та репресій проти громадянського
суспільства, наукових кіл та громадян. ЄС продовжуватиме бути на чолі процесів
захисту та просування прав людини та основних свобод в Інтернеті. З цією
метою ЄС сприятиме подальшому дотриманню міжнародного законодавства та
стандартів у галузі прав людини106, а також введе в дію свій План дій щодо прав
людини та демократії 2020–2024107 й удосконалить свої Настанови щодо прав
людини з питань свободи вираження поглядів в Інтернеті та поза ним108,
пропонуючи новий стимул для практичного застосування інструментів ЄС.
ЄС постійно докладатиме зусиль для захисту правозахисників, громадянського
суспільства та наукових кіл, що працюють над такими питаннями як
кібербезпека, конфіденційність даних, нагляд та онлайн-цензура. З цією
метою ЄС надасть подальші практичні вказівки, заохочуватиме застосування
найкращих практик та активізує свої зусилля щодо запобігання зловживанню
новими технологіями, зокрема, шляхом використання дипломатичних заходів, де
це необхідно, а також застосування норм експортного контролю щодо таких
технологій. ЄС також продовжуватиме боротьбу за захист найбільш вразливих
членів суспільства в Інтернеті, просуваючи законодавство для кращого захисту
дітей від сексуального насильства та експлуатації та Стратегію прав дитини.
Будапештська конвенція про кіберзлочинність
ЄС продовжує підтримувати треті країни, які бажають приєднатися до

Будапештської конвенції Ради Європи про кіберзлочинність, і працює над
доопрацюванням Другого додаткового протоколу до Будапештської
конвенції, який містить заходи та гарантії для вдосконалення міжнародної
104 https://front.un-arm.org/wp-content/uploads/2020/10/joint-contribution-poa-the-future-of-cyber-
discussions-at-the-un-10302020.pdf
105 Як відображено у відповідних звітах груп урядових експертів щодо розвитку в галузі
інформації та телекомунікацій у контексті міжнародної безпеки (UNGGE), схвалених Генеральною

Асамблеєю ООН, зокрема за: 2015, 2013 та 2010 роки.
106 Зокрема, Статуту ООН та Загальної декларації прав людини.
107 https://www.consilium.europa.eu/en/press/press-releases/2020/11/19/council-approves-
conclusions-on-the-eu-action-plan-on-human-rights-and-democracy-2020-2024/
108 https://www.consilium.europa.eu/media/28348/142549.pdf
25
співпраці між правоохоронними та судовими органами, а також між органами

влади та постачальниками послуг в інших країнах, і щодо яких Комісія бере
участь у переговорах від імені ЄС109. Поточна ініціатива щодо створення нового
правового інструменту з питань кіберзлочинності на рівні ООН ризикує посилити
розбіжності та вповільнити необхідні національні реформи й відповідні зусилля з
розбудови спроможностей, що потенційно заважатиме ефективній міжнародній
співпраці проти кіберзлочинності: ЄС не бачить потреби у створенні нового
правового інструменту з питань кіберзлочинності на рівні ООН. ЄС продовжує
брати участь у багатосторонніх обмінах з питань кіберзлочинності, щоб
забезпечити повагу до прав людини та основних свобод, шляхом інклюзивності,
прозорості та врахування наявної експертизи, з метою отримання доданої
вартості для всіх.
3.2 Співпраця з партнерами та спільнотою зацікавлених сторін
ЄС посилить і розширить свій кібердіалог із третіми країнами, щоб просувати

свої цінності та бачення кіберпростору, обмінюючись найкращими практиками та
прагнучи до більш ефективної співпраці. ЄС також налагодить структурований
обмін із такими регіональними організаціями як Африканський союз,
Регіональний форум АСЕАН, Організація американських держав та Організація з
безпеки та співробітництва в Європі. Водночас ЄС намагатиметься знайти спільну
мову, де це можливо та доцільно, з іншими партнерами щодо питань, які
становлять спільний інтерес. Працюючи з Представництвами ЄС, а також, де це
доцільно, з посольствами держав-членів у всьому світі, ЄС сформує неформальну
мережу кібердипломатії ЄС для просування бачення Європейським Союзом
кіберпростору, обміну інформацією та регулярної координації щодо подій у
кіберпросторі110.
Спираючись на Спільні декларації від 8 липня 2016 року 111 та 10 липня 2018
року112, ЄС продовжуватиме розвивати співпрацю між ЄС та НАТО, зокрема,
щодо вимог до взаємодії в галузі кіберзахисту. У цьому контексті ЄС і надалі
продовжуватиме процес приєднання відповідних структур СПБО до мережі
інтегрованих місій НАТО, забезпечуючи взаємодію мережі з НАТО та партнерами,
за необхідності. Крім того, необхідно додатково розвивати співпрацю між ЄС та
НАТО з питань освіти, тренінгів та навчань, у тому числі шляхом взаємодії між
Європейським коледжем безпеки та оборони та Кооперативним центром
кіберзахисту НАТО.
Відповідно до своїх цінностей, ЄС наполегливо підтримує та просуває

багатосторонню модель управління Інтернетом. Жоден суб’єкт, уряд чи
міжнародна організація не повинні прагнути одноосібно контролювати Інтернет.
ЄС продовжуватиме брати участь у форумах113 для посилення співпраці та
109 Рішення Ради від червня 2019 року (посилання 9116/19)

110 Там, де це доречно, він також може залучати до діяльності неформальної мережі цифрової
дипломатії ЄС міністерства закордонних справ держав-членів.
111 http://www.consilium.europa.eu/en/press/press-releases/2016/07/08-eu-nato-joint-declaration/
112 https://www.consilium.europa.eu/en/press/press-releases/2018/07/10/eu-nato-joint-declaration/
113 Такі як Інтернет-корпорація з присвоєння імен та номерів (ICANN) та Форум управління
Інтернетом (IGF).
26
забезпечення захисту основних прав і свобод, зокрема права на гідність,

приватність та свободу вираження поглядів та інформації. Для розвитку співпраці
між зацікавленими сторонами з питань кібербезпеки Комісія та Верховний
представник, згідно зі своїми відповідними повноваженнями, прагнуть посилити
регулярні та структуровані обміни із зацікавленими сторонами, включаючи
приватний сектор, наукові кола та громадянське суспільство, підкреслюючи, що
взаємопов’язаний характер віртуального простору вимагає від усіх зацікавлених
сторін обмінюватися інформацією та взяти на себе конкретні зобов’язання щодо
підтримки глобального, відкритого, стабільного та безпечного кіберпростору.
Такі зусилля є цінними для потенційних ключових дій на рівні ЄС.
3.3. Посилення глобального потенціалу для підвищення глобальної стійкості
Щоб гарантувати, що всі країни зможуть скористатися соціальними,
економічними та політичними вигодами від Інтернету та використання
технологій, ЄС продовжує підтримувати своїх партнерів для підвищення їхньої
стійкості в кіберпросторі та спроможності розслідувати, переслідувати
кіберзлочинність та реагувати на кіберзагрози. Для забезпечення загальної
узгодженості ЄС повинен розробити Порядок денний з питань розбудови
зовнішнього кіберпотенціалу ЄС, щоб такі зусилля здійснювалися відповідно до
його Керівних принципів щодо зовнішнього кіберпотенціалу114 та Порядку
денного для сталого розвитку до 2030 року.115. Порядок денний повинен
використовувати досвід держав-членів та відповідних установ, органів і агентств
та ініціатив ЄС, включаючи Мережу з розбудови кіберпотенціалу ЄС 116, згідно з
їхніми відповідними повноваженнями. Буде створена Рада з питань розвитку
кіберпотенціалу ЄС, яка охоплюватиме відповідні інституційні зацікавлені
сторони ЄС та контролюватиме прогрес, а також визначатиме подальші взаємодії
та потенційні прогалини. Крім того, вона може підтримати посилену співпрацю з
державами-членами, а також із партнерами з державного та приватного секторів
та іншими відповідними міжнародними органами для забезпечення координації
зусиль та уникнення дублювання.
Розвиток кіберпотенціалу ЄС і надалі буде зосереджений у регіоні Західних
Балкан та сусідніх із ЄС країнах, а також у країнах-партнерах, що переживають
швидкий цифровий розвиток. Зусилля ЄС необхідно спрямувати на підтримку
розробки законодавства та політик країн-партнерів у рамках відповідних політик
та стандартів ЄС у галузі кібердипломатії. У цьому контексті зусилля ЄС щодо
розбудови спроможності в галузі діджиталізації включатимуть кібербезпеку як
стандартну характеристику. З цією метою ЄС розробить навчальну програму для
співробітників у ЄС, відповідальних за імплементацію зусиль ЄС щодо розбудови
зовнішнього цифрового та кіберпотенціалу. ЄС також надаватиме таким країнам
допомогу в подоланні дедалі більших викликів, пов’язаних із зловмисною
кібердіяльністю, що шкодить розвитку їхніх суспільств, а також цілісності та
безпеці демократичних систем, у межах зусиль, передбачених Європейським
планом дій щодо демократії. Для цього особливо корисним може бути взаємне
115 https://ec.europa.eu/environment/sustainable-development/SDGs/index_en.htm
116 https://www.eucybernet.eu/
27
навчання між державами-членами ЄС, а також відповідними установами ЄС та

третіми країнами.
У підсумку, у контексті Цивільного договору про СПБО 2018 року117, цивільні місії
в рамках СБПО також можуть бути частиною реакції ЄС на виклики кібербезпеки,
зокрема шляхом зміцнення верховенства права в межах ЄС, а також можливостей
правоохоронних та цивільних органів країн-партнерів.
ЄС повинен:
• Визначити перелік завдань щодо процесів міжнародної стандартизації та

просувати їх на міжнародному рівні;
• Сприяти розвитку міжнародної безпеки та стабільності в кіберпросторі,
зокрема шляхом внесення ЄС та його державами-членами пропозиції щодо
створення Програми дій із заохочення відповідальної поведінки держав у
кіберпросторі (ПД) в ООН;
• Запропонувати практичні вказівки щодо застосування прав людини та

основних свобод у кіберпросторі;
• Забезпечити кращий захист дітей від сексуального насильства та

експлуатації, а також застосування Стратегії з прав дитини;
• Зміцнювати та просувати Будапештську конвенцію про кіберзлочинність, у

тому числі шляхом роботи над Другим додатковим протоколом до
Будапештської конвенції;
• Розширити кібердіалог ЄС із третіми країнами, регіональними та

міжнародними організаціями, у тому числі за допомогою неформальної
мережі кібердипломатії ЄС;
• Посилити обмін із широкою спільнотою зацікавлених сторін, зокрема

шляхом регулярних та структурованих обмінів із приватним сектором,
науковими колами та громадянським суспільством; і
• Внести пропозиції щодо формування Порядку денного з питань розбудови

зовнішнього кіберпотенціалу ЄС та створення Ради з питань розбудови
кіберпотенціалу ЄС.
III. КІБЕРБЕЗПЕКА В ІНСТИТУЦІЯХ, ОРГАНАХ ТА АГЕНТСТВАХ ЄС
З огляду на їхнє велике політичне значення, їхні критично важливі завдання з

координації надзвичайно чутливих питань та їхню роль в управлінні великими
сумами державних коштів, установи, органи та агентства ЄС регулярно стають
об’єктами кібератак, зокрема кібершпигунства. Однак зрілість та рівень
кіберстійкості і здатності виявляти шкідливу кібердіяльність та реагувати на неї
28
в цих суб’єктів є різним. Таким чином, необхідно покращити загальний рівень

кібербезпеки за допомогою введення послідовних та однорідних правил.
У галузі інформаційної безпеки було досягнуто прогресу в питанні створення

більш узгоджених правил захисту секретної, а також конфіденційної
несекретної інформації ЄС. Однак сумісність класифікованих інформаційних
систем залишається обмеженою, що заважає безперешкодно передавати
інформацію між різними структурами. Необхідно досягти більшого прогресу для
забезпечення застосування міжінституційного підходу до поводження із
секретною та конфіденційною несекретною інформацією ЄС, що також може
використовуватися як модель для взаємодії між державами-членами. Необхідно
також визначити вихідні значення для спрощення процедур із державами-
членами. ЄС також надалі розвиватиме свою здатність безпечно комунікувати з
відповідними партнерами, спираючись, наскільки це можливо, на існуючі
домовленості та процедури.
Таким чином, як було зазначено у Стратегії Союзу безпеки, Комісія внесе

пропозиції щодо загальних обов’язкових правил у галузі інформаційної
безпеки та загальнообов’язкових правил щодо кібербезпеки для всіх
установ, органів та агентств ЄС у 2021 році, які базуватимуться на результатах
міжінституційних обговорень ЄС із питань кібербезпеки, що наразі тривають118.
Сучасні та майбутні тенденції, які стосуються дистанційної роботи, також

потребуватимуть подальших інвестицій у безпечне обладнання, інфраструктуру
та інструменти, що дозволять віддалено працювати з конфіденційними та
секретними файлами.
Крім того, посилення ворожості ландшафту кіберзагроз та зростаюча кількість
більш складних кібератак, що впливають на установи, органи та агентства ЄС,
зумовлюють необхідність збільшення інвестицій для досягнення високого рівня
кіберзрілості. Програма підвищення кібернетично обізнаності створюється для
всіх установ, органів та агентств ЄС для підвищення обізнаності персоналу,
кібергігієни та просування принципів загальної культури кібербезпеки.
Підсилення CERT-ЄС удосконаленим механізмом фінансування необхідне для
підвищення його здатності допомагати установам, органам та агентствам ЄС
застосовувати нові правила кібербезпеки, покращувати свою кіберстійкість.
Мандат CERT-ЄС також повинен бути посилений для забезпечення стабільних
засобів досягнення зазначених завдань.
Регулярні міжінституційні обговорення ЄС із питань кібербезпеки є частиною ширшого обміну

118
можливостями та проблемами цифрової трансформації між установами ЄС.
29
1. Регламент про інформаційну безпеку в установах, органах та агентствах

ЄС;
2. Регламент про загальні правила кібербезпеки для установ, органів та

агентств ЄС;
3. Нова правова база для CERT-ЄС для підсилення його повноважень та
фінансування.
IV. ВИСНОВКИ
Узгоджена імплементація цієї стратегії сприятиме цілям цифрового десятиліття

для ЄС у галузі кібербезпеки, створенню Союзу безпеки та зміцненню позицій ЄС
на глобальному рівні.
ЄС повинен стати лідером у процесі створення стандартів та норм для рішень

світового рівня, стандартів кібербезпеки для базових послуг та критичних
інфраструктур, а також розробки та застосування нових технологій. Будь-яка
організація та приватна особа, яка користується Інтернетом, є частиною рішення
у процесі забезпеченні кібербезпечної цифрової трансформації.
Комісія та Верховний представник, відповідно до своїх повноважень,
контролюватимуть прогрес у рамках цієї стратегії та розроблятимуть критерії
оцінювання. Дані для цього моніторингу повинні містити зокрема звіти ENISA та
регулярні звіти Комісії з питань Союзу безпеки. Результати сприятимуть
досягненню завдань Цифрового десятиліття119. Відповідно до своїх повноважень,
Комісія та Верховний представник продовжуватимуть комунікувати з
державами-членами для визначення практичних заходів для об’єднання
чотирьох спільнот кібербезпеки в ЄС, а саме критичної інфраструктури та
стійкості внутрішнього ринку, правосуддя та правоохоронних органів,
кібердипломатії та кіберзахисту, де це необхідно. Крім того, Комісія та Верховний
представник продовжуватимуть взаємодіяти із спільнотою, що включає численні
зацікавлені сторони, наголошуючи на потребі кожного, хто користується
Інтернетом, відігравати свою роль у підтримці глобального, відкритого,
стабільного та безпечного кіберпростору, де кожен може безпечно прожити своє
цифрове життя.
119 Як було зазначено в Робочій програмі роботи Комісії на 2021 рік.
30
Додаток: Наступні кроки щодо кібербезпеки мереж
5G
На підставі результатів перегляду Рекомендації Комісії щодо кібербезпеки мереж
5G120, наступні кроки скоординованої діяльності на рівні ЄС повинні зосередитися
на трьох ключових завданнях та на основних коротко- й середньострокових діях,
викладених у таблиця нижче, які будуть імплементовані органами влади держав-
членів, Комісією та ENISA.
Першим пріоритетом на наступному етапі є завершення імплементації Набору
інструментів на національному рівні та вирішення питань, визначених у
звіті про прогрес від липня 2020 року. У цьому контексті на деякі стратегічні
заходи «Набору інструментів» позитивно вплинуть посилення координації
діяльності або обмін інформацією в рамках Напрямків роботи МІС, як це вже
визначено у звіті про прогрес, що потенційно може призвести до створення
найкращих практик або настанов. Що стосується Технічних заходів, ENISA може
надавати подальшу підтримку, спираючись на вже зроблену роботу та провівши
поглиблене дослідження певних тем, а також проводячи всебічний огляд усіх
відповідних настанов щодо вимог до кібербезпеки 5G для операторів
мобільних мереж.
По-друге, держави-члени наголошували на важливості залишатися в курсі подій
за допомогою постійного моніторингу розвитку технологій, архітектури 5G,
загроз та випадків використання та застосування 5G, а також зовнішніх
факторів, щоб мати можливість виявляти нові ризики та ризики, що
виникають, і боротися з ними. Більше того, необхідно розглянути низку
аспектів під час початкового аналізу ризиків, зокрема, щоб переконатися, що
вони стосуються всієї екосистеми 5G, включаючи всі відповідні частини
мережевої інфраструктури та ланцюжка постачання 5G. Попри те, що Набір
інструментів був розроблений, щоб бути гнучким та адаптуватися до ситуації, за
необхідності в середньостроковій перспективі можуть бути вжиті заходи для його
доповнення або внесення змін, щоб забезпечити його актуальність та повноту.
По-третє, необхідно продовжувати вживати заходів на рівні ЄС для підтримки та
доповнення цілей Набору інструментів та повної інтеграції їх у відповідні
політики Союзу та Комісії, зокрема, продовжуючи діяльність, оголошену Комісією
у її Повідомленні щодо Набору інструментів від 29 січня 2020 121 в багатьох сферах
(наприклад, фінансування ЄС безпечних мереж 5G, інвестиції в технології 5G та
наступних поколінь, інструменти захисту торгівлі та конкуренції для уникнення
спотворень на ринку постачання 5G тощо).
Де це доречно, на початку 2021 року головні актори повинні в деталях узгодити
домовленості та етапи основних дій, викладених нижче.
120 Звіт Комісії про вплив Рекомендації Комісії 2019/534 від 26 березня 2019 року на кібербезпеку
мереж 5G.
121 Повідомлення Комісії COM (2020)50, Безпечне розгортання 5G в ЄС — щодо імплементації
набору інструментів ЄС, 29 січня 2020 року.
31
Ключове завдання 1: Забезпечення спільних національних підходів для ефективного
зменшення ризиків у ЄС
Сфери Основні коротко- та середньострокові дії Головні актори

Імплементація Завершити імплементацію заходів, Органи влади
набору рекомендованих у висновках «Набору держав-членів
інструментів інструментів», до другого кварталу 2021 року,
державами- періодично проводячи підсумки в рамках
членами Напрямків роботи МІС.
Обмін інформацією Посилити обмін інформацією та розглянути Органи влади
та найкращими можливі найкращі практики, зокрема щодо: держав-членів,
практиками щодо - Обмежень для постачальників із високим Комісія
стратегічних ризиком (SM03) та заходів, пов’язаних із
заходів, пов’язаних наданням послуг з управління (SM04);
із - Безпеки та надійності ланцюжка
постачальниками постачання, зокрема, заходи за
результатами опитування, проведеного
BEREC щодо SM05-SM06.
Розбудова Провести технічні занурення та розробити ENISA, органи
спроможностей та загальні настанови та інструменти, зокрема: влади держав-
настанови щодо - Повну та динамічну матрицю засобів членів
технічних заходів контролю безпеки та найкращих практик
щодо безпеки 5G;
Настанови для підтримки впровадження
обраних технічних заходів із Набору
інструментів.
Ключове завдання 2: Підтримка постійного обміну знаннями та розбудови
спроможності

Постійне Організувати заходи щодо накопичення знань ENISA, органи
накопичення знань про технології та пов’язані з ними проблеми влади держав-
(відкриті архітектури, функції 5G — наприклад, членів, інші
віртуалізація, контейнеризація, слайсинг тощо), зацікавлені
еволюція середовища загроз, інциденти в сторони
реальному житті тощо.
Оцінювання Оновлювати інформацію та обмінюватися Органи влади
ризиків інформацією щодо оновлених національних держав-членів,
оцінок ризиків Комісія, ENISA
Спільні проекти, Надавати фінансову підтримку проектам, що Органи влади
що фінансуються підтримують імплементацію Набору держав-членів,
ЄС для підтримки інструментів із використанням фінансування Комісія
імплементації ЄС, зокрема в рамках Програми «Цифрова
Набору Європа» (наприклад, проекти з розбудови
інструментів спроможності національних органів влади,
випробувальних майданчиків або інших
потужних можливостей тощо)
Співпраця Сприяти співпраці між національними органами Органи влади
зацікавлених влади, які займаються кібербезпекою 5G держав-членів,
сторін (наприклад, Група співпраці МІС, органи Комісія, ENISA
кібербезпеки, регуляторні органи
телекомунікацій) та приватними зацікавленими
сторонами
32
Ключове завдання 3: Сприяти стійкості ланцюжка поставок та іншим стратегічним
завданням ЄС у галузі безпеки

Стандартизація Розробити та впровадити конкретний план дій Органи влади
щодо розширення представництва ЄС в органах, держав-членів
що встановлюють стандарти, як частина
подальших кроків роботи підгрупи МІС зі
стандартизації з метою досягнення конкретних
цілей безпеки, зокрема сприяння сумісності
інтерфейсів для диверсифікації постачальників.
Стійкість - Провести поглиблений аналіз екосистеми 5G Органи влади
ланцюжка та ланцюжка поставок для кращого виявлення держав-членів,
поставок та моніторингу ключових активів та Комісія
потенційних критичних залежностей
- Забезпечити відповідність функціонування
ринку 5G та ланцюжка поставок правилам та
цілям торгівлі та конкуренції ЄС, як це
визначено у Повідомленні Комісії від 29 січня, а
також застосування процедур скринінгу ПІІ до
інвестицій, які потенційно можуть вплинути на
ланцюжок формування вартості 5G, враховуючи
завдання набору інструментів.
- Відстежувати існуючі та очікувані ринкові
тенденції та оцінювати ризики та можливості у
сфері відкритого RAN, зокрема, шляхом
проведення незалежного дослідження
Сертифікація Розпочати підготовку відповідної схеми Комісія, ENISA,
сертифікації кандидатів для ключових національні
компонентів 5G та процесів постачальників, щоб органи влади,
допомогти у вирішенні певних ризиків, інші зацікавлені
пов’язаних із технічними вразливими місцями, сторони
як визначено у планах зменшення ризиків у
рамках Набору інструментів.
Спроможності ЄС та - Інвестувати в НДДКР та спроможності, зокрема Держави-члени,
безпечне за допомогою Партнерства інтелектуальних Комісія
розгортання мереж та послуг. Зацікавлені
мережі - Впровадити відповідні умови безпеки для сторони зі
програм фінансування та фінансових сфери 5G
інструментів ЄС (внутрішніх та зовнішніх), як
було зазначено в Повідомленні Комісії від 29
січня.
Зовнішні аспекти Позитивно реагувати на запити третіх країн, які Держави-члени,
бажають зрозуміти та потенційно Комісія
використовувати підхід у рамках Набору ЄСЗС,
інструментів, розроблений ЄС. Представництва
ЄС
33

Joint Communication The EUs Cybersecurity Strategy For The Digital

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Joint Communication The EUs Cybersecurity Strategy For The Digital

Uploaded by

Copyright:

Available Formats

НЕОФІЦІЙНИЙ ПЕРЕКЛАД UNOFFICIAL TRANSLATION

Брюссель, 16.12.2020 року

СПІЛЬНЕ ПОВІДОМЛЕННЯ ЄВРОПЕЙСЬКОГО

Стратегія кібербезпеки ЄС на цифрове десятиліття

СПІЛЬНЕ ПОВІДОМЛЕННЯ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ ТА РАДИ

Стратегія кібербезпеки ЄС на цифрове десятиліття

I. ВСТУП: ЦИФРОВА ТРАНСФОРМАЦІЯ КІБЕРБЕЗПЕКИ У СКЛАДНОМУ

1 За оцінками телекомунікаційної торгової асоціації GSMA; https://www.gsma.com/iot/wp-

Наявні загрози додатково ускладнюються геополітичною напруженістю

використання інтернет-трафіку збільшилося на 60%; https://www.oecd.org/coronavirus/policy-

Питання до безпеки є головним стримуючим фактором для використання

Цифрові послуги та фінансовий сектор є одними з найпоширеніших об’єктів

основі кількісного аналізу 524 недавніх порушень у 17 географічних регіонах та 17 галузях;

комерційної таємниці, особливо серед малих та середніх підприємств; PwC, «Дослідження

кібербезпеки серед робітників19. У 2019 році було зафіксовано майже 450

Тому покращення кібербезпеки є надзвичайно важливим для забезпечення

кібербезпеки та бази даних вищої освіти ENISA, грудень 2019 року.

повідомлень, отриманих відповідно до статті 10(3) Директиви про безпеку мереж та

до використання екологічно чистої енергії відповідно до Зеленого пакту для

II. ГЛОБАЛЬНЕ МИСЛЕННЯ, ЄВРОПЕЙСЬКІ ДІЇ

26 Зелений пакт для Європи, COM (2019) 640 остаточний.

квантові обчислення, використовуючи стимули, зобов’язання та контрольні

1. СТІЙКІСТЬ, ТЕХНОЛОГІЧНА НЕЗАЛЕЖНІСТЬ ТА ЛІДЕРСТВО

1.1 Стійка інфраструктура та критичні послуги

Реформована Директива про МІС забезпечить основу для більш конкретних

містять цифрові компоненти, та безпека пов’язаних із ними ланцюжків поставок

1.2 Створення європейського кіберщита

36 Пропозиція щодо регламенту цифрової оперативної стійкості для фінансового сектору та

Європейська мережа співробітництва з питань виборів, виборчі мережі держав-членів

вимогливою і швидко змінюється, тому ШІ та, зокрема, методи машинного

Комісія пропонує створити мережу Операційних центрів безпеки по всьому

1.3 Ультрабезпечна комунікаційна інфраструктура

Урядовий супутниковий зв’язок Європейського Союзу45, що є складовою

42 Джерело: опитування Інституту Понемона «Поліпшення ефективності ОЦБ, 2019»; для

Держави-члени взяли на себе зобов’язання співпрацювати з Комісією щодо

У поточній ситуації й надалі Комісія вивчить можливість розгортання

46 Декларація ЄвроІКК була підписана більшістю держав-членів, а розвиток та розгортання

1 000 км), які наземна інфраструктура не може підтримувати. Використовуючи властивості

COM (2020) 50.

Комісія продовжуватиме тісно співпрацювати з державами-членами для

Крім того, підхід ЄС у рамках Набору інструментів 5G викликав інтерес у країнах,

1.5 Інтернет безпечних речей

Комісія розгляне комплексний підхід, включаючи можливі нові горизонтальні

13629/20, 2 грудня 2020 року.

базуватимуться на запропонованому перегляді загальних правил безпеки

1.6 Краща глобальна безпека Інтернету

Набір основних протоколів та допоміжна інфраструктура забезпечує

З метою зменшення проблем безпеки, пов’язаних із концентрацією на ринку,

57 Перегляд чинних загальних правил безпеки продукції (Директива 2001/95/ЄС); також

глобальним суспільним благом, забезпечує основну функціональність Інтернету в цілому та

ентропії Інтернету — відсутність надмірності розпізнавання DNS основними веб-сайтами та

профілювання, що впливає на конфіденційність та право на захист даних.

диверсифікації розпізнавання DNS. Комісія також має намір сприяти безпечному

1.7 Посилена присутність у ланцюжку постачання технологій

Завдяки запланованій фінансовій підтримці цифрової трансформації за

подорожчання адрес IPv4. Однак розгортання IPv6 в ЄС нерівномірне.

питань промислової, технологічної та дослідницької компетенції з кібербезпеки; Пропозиція щодо

його впровадження в рамках Європейської організації кібербезпеки), венчурного

Також особлива увага буде приділена Інструменту технічної підтримки69 та

Комісія має намір підтримати, потенційно разом із CCCN, розробку спеціальної

1.8 Кваліфікована у кіберсфері робоча сила ЄС

Зусилля ЄС щодо підвищення кваліфікації робочої сили, розвитку, залучення та

Комісія спільно з Управлінням інтелектуальної власності ЄС при Європолі, ENISA,