欧盟成员国国防部长于5月23日就网络防御达成共识,指出需要在机构体系内避免重复工作,并明确了防御领域优先推进技能发展与自愿协调等事项。
这份共识文件共18页,由欧盟27国防长签署,是对去年11月欧盟委员会和欧盟外交与安全政策高级代表联合发布的欧盟网络防御政策的回应。
该文件分为五部分34条,包括共同行动加强网络防御、保障欧盟防务生态系统安全、投资网络防御能力、通过合作应对共同挑战、结论。
该文件承诺“加大对现代化和互操作性的武装部队、尖端技术、先进网络防御能力的投资,并加强伙伴关系,以应对共同挑战。
”欧盟成员国在文件中重点提及俄罗斯,称之为欧盟网络安全的主要威胁。不过,欧盟国家尚未对是否需要“遏止网络攻击”、采取哪些主动网络措施达到防御目的等问题达成明确共识。
内部协调
共识文件由欧盟理事会批准。文件强调,与欧盟其他机构、组织和代理机构合作时,如欧盟网络安全局(ENISA)和欧盟应急响应中心(CERT-EU),应避免“不必要的重复工作”。
作为欧盟官方网络安全机构,ENISA最近推出了一项网络安全技能框架。这是一种实用工具,用于确定哪些任务、能力、技能和知识与欧盟网络安全专业人员角色相关。
作为欧盟的网络安全事件响应团队,CERT-EU负责监督欧盟机构和组织的信息通信技术(ICT)安全。目前,欧盟计划提升CERT-EU的能力,加大对其资金投入,要求其协调漏洞披露工作,并为欧盟各机构网络安全框架设定基准。
技能发展
欧盟理事会强调了多种网络教育、培训、演练项目。不过,共识文件只是在接近尾声,谈到网络安全技能缺口时才提到了网络安全技能学院。
今年4月,欧盟委员会推出网络安全技能学院,旨在填补网络安全行业持续存在的技能缺口、发展欧盟的网络安全能力。
与之相反,欧盟理事会强调了“永久结构化合作”项目。这批五年前启动的项目,在本周由欧盟成员国防长审查,以评估欧盟整体能力。这68个项目中有部分进展缓慢,引发关切。
协调防御方法
在欧盟国防生态系统下,欧盟理事会邀请各成员国政府“参考《关于在欧盟全境实现高度统一网络安全措施的指令》(NIS2),制定非法律约束的自愿性建议,加强国防领域的网络安全。”
NIS2为那些对社会运转不可或缺或起到重要作用的实体规定了具体义务。
NIS2也是欧盟最新网络安全法《网络弹性法案》的基线。一个月前,瑞典担任欧盟理事会主席国,提议修改《网络弹性法案》,允许各成员国政府针对NIS2下视为必需或重要实体,向它们使用的ICT产品提出额外的安全要求。
行业支持
欧盟理事会还强调,需要“扩大欧洲网络安全产业规模,以欧洲网络安全能力中心(ECCC)为关键支撑,保障安全机制运行”。
成立一年来,ECCC两周前才刚刚在布加勒斯特设立办公室,人员配备仍然严重不足。此外,ECCC执行主任人选尚未落定,欧盟委员会和罗马尼亚在该问题上存在长期争议。
转自 安全内参,原文链接:https://www.secrss.com/articles/55020
封面来源于网络,如有侵权请联系删除