חזרה לעמוד הקודם

האיחוד האירופי: יוזמת חקיקה לשיתוף פעולה בין המגזר הפרטי והציבורי בפיתוח אמצעי הגנת סייבר

על רקע אירועים ביטחוניים משמעותיים באירופה, כמו מלחמת רוסיה-אוקראינה שפרצה ב-2022, ועל רקע התפתחויות של איומים בתחום הסייבר והפיכתם לאיומים עוצמתיים וממשיים יותר, הנציבות האירופית (European Commission) מקדמת חקיקה חדשה לחיזוק הגנת סייבר ושיתוף פעולה בין המדינות באיחוד: Cyber Solidarity Act.  

בהתאם לתוכנית העבודה שהציגה הנציבות האירופית ביום 28.02.2023, יוזמת החקיקה הוצגה לציבור והועלתה לדיון נרחב בנציבות האירופית בתחילת חודש אפריל 2023. במסגרת הדיונים הוצגו הצעדים שתכלול החקיקה החדשה, ומטרות עתידיות שיקודמו בהמשך. 

מטרת החקיקה 

לפי מסמך הסבר שפרסם האיחוד האירופי בנושא, מספר תקיפות הסייבר על האיחוד האירופי והמדינות החברות בו הולך ועולה. בפרט, ההתקפה הרוסית על מערכת לווינים, שפגעה בתקשורת של מספר רשויות ציבוריות ושל צבא אוקראינה, היא דוגמה לכמה גם המערכת האזרחית וגם הביטחונית מסתמכות על אותה תשתית תקשורת קריטית. על רקע זה, האיחוד האירופי מבקש לשפר את המוכנות של כלל האיחוד להתמודדות עם איומי סייבר, הן בהיבט האזרחי והן בהיבט הביטחוני. לשם כך, האיחוד האירופי מקדם חקיקה שתיצור ממשק עבודה משמעותי בין גופים אזרחיים לגופים ביטחוניים, שישתפו מידע, יתריעו ויגנו ביחד מפני תקיפות.  

פרטי החקיקה ויוזמות מרכזיות

לפי מסמך עדכון שפרסם האיחוד האירופי ביום 18.04.2023, החקיקה תתמקד במספר יוזמות מרכזיות:

European Cyber Shield: תשתית כלל-אירופאית שתורכב מגופים ממשלתיים ובינלאומיים שיוגדרו כ-SOC, "מרכזי מבצעי אבטחה". המערכת צפויה להיכנס לפעולה בתחילת 2024. באפריל 2023, כחלק מההכנות לפריסה הרשמית של התשתית, האיחוד האירופי יצר תשתית לפעילות משותפת של SOCs מ-17 מדינות חברות באיחוד האירופי ואיסלנד.  

Cyber Emergency Mechanism: החקיקה תשאף ליצור מנגנון התמודדות עם מצבי חירום בתחום הסייבר, שיגביר את יכולות הגילוי של איומי סייבר, ישפר את המוכנות להתקפות סייבר ויטייב את המענה לתקיפות. כחלק ממסגרת זו, יוקם "מאגר סייבר" שיורכב מספקי שירות פרטיים מוסמכים שיתמכו, לבקשת מדינות החברות באיחוד האירופי, בתגובה להתקפות סייבר משמעותיות. כמו כן, האיחוד יקיים בדיקות באופן יזום של מערכות במגזרים כלכליים קריטיים (תחבורה, אנרגיה, בריאות וכו'), לאיתור חולשות ורגישויות לתקיפות סייבר. לבסוף, האיחוד יקים תשתית שתקל על העברת כספים בין חברות באיחוד לטובת תמיכה הדדית בקידום הגנת סייבר. 

הקריטריונים לבחירתם של ספקים אלה אינם ידועים עדיין, אבל סביר להניח שהמאגר יכלול חברות אבטחת מידע אירופאיות קיימות. נכון לעכשיו, כתוצאה מאי-הבהירות הזו ביחס לקריטריונים, לא ברור אם הגישה למאגר תהיה מוגבלת רק לחברות אירופאיות, או שתתאפשר גם לחברות חוץ אירופאיות (בעיקר חברות אמריקאיות). בכל מקרה, בשל רגישות הסוגיה, צפויות הגבלות על חברות זרות, שיתבטאו לכל הפחות בהדרתן של חברות עם קשרים למדינות עוינות (לדוגמה, חברות סיניות).

Cybersecurity Incident Review Mechanism: יוקם מנגנון לבחינת תקריות אבטחת סייבר, שמטרתו טיוב בחינת אירועי סייבר במדינות הארגון לשם הסקת מסקנות לשיפור המענה בעתיד. 

Cybersecurity Skills Academy: במסגרת החקיקה יוקמו מרכזי הכשרה לאבטחת מידע, במטרה להגדיל את מספר המוכשרים בהגנה סייבר. בשלב הראשוני, הוקמה פלטפורמה אינטרנטית לביצוע קורסים בהגנת סייבר, לאיתור קורסים והכשרות ברחבי האיחוד ולפרסומים אקדמיים בנושא אבטחת מידע.