Η ΕΣΚ[1] προωθείται προς ενίσχυση της ενωσιακής ανθεκτικότητας έναντι κυβερνοαπειλών και προστασία της ψηφιακής οικονομίας και κάθε φυσικού και νομικού προσώπου, με θεμελιώδη την πρόταση δημιουργίας δικτύου ΕΚΚ[2] σε όλα τα κράτη μέλη. Στο ήδη εγκριθέν[3] Εθνικό Σχέδιο Ανάκαμψης κα Ανθεκτικότητας «Ελλάδα 2.0» συμπεριλαμβάνεται έργο[4] που αφορά στην ίδρυση και λειτουργία Εθνικού Επιχειρησιακού Κέντρου Κυβερνοασφάλειας, προϋπολογισμού 40.4 εκατομμυρίων ευρώ, το οποίο θα χρηματοδοτηθεί με πόρους του ΤΑΑ[5] και δικαιούχο την Ελληνική ΕΥΠ[6] μέσω εποπτευόμενης από αυτή δομής.[7]
Ερωτάται η Επιτροπή:
1.Είναι οι ΕΥΠ ή οι ΕΑΚ[8] αρμόδιες: α) να διασφαλίζουν ότι όλοι επωφελούνται από αξιόπιστες υπηρεσίες κυβερνοασφάλειας και ψηφιακά εργαλεία και β) να προστατεύουν τα θεμελιώδη δικαιώματα και αξίες σύμφωνα με τους στόχους του ΕΣΚ;
2.Δεδομένων ότι η σχετική επιχειρησιακή συνεργασία προϋποθέτει διακρατική ανταλλαγή πληροφοριών και ότι δικαιούχος του έργου είναι η ελληνική ΕΥΠ, της οποίας η αποστολή περιορίζεται σε συλλογή και όχι διαμοίραση πληροφοριών, πώς διασφαλίζεται η διαλειτουργικότητα μεταξύ εθνικών ΟΑΕΑΠ[9] όταν στο προαναφερθέν έργο δεν δημοσιοποιούνται τεχνικές προδιαγραφές και άρα η προεπιλογή των υποψηφίων αναδόχων περιορίζει την τελικώς εφαρμοστέα τεχνολογία στις δυνατότητες και την τεχνογνωσία αυτών;
3.Εάν τυχόν έχουν εγκριθεί αντίστοιχα έργα στο πλαίσιο άλλων Ταμείων Ανάκαμψης και Ανθεκτικότητας, σε ποια άλλα κράτη μέλη υλοποιούνται αυτά κατά τα πρότυπα λειτουργίας ΕΥΠ (π.χ. απόρρητο για το αντικείμενο του έργου και τους αναδόχους) και όχι από τις αρμόδιες ΕΑΚ;
[1] ΕΣΚ: Ευρωπαϊκή Στρατηγική Κυβερνοασφάλειας – ECS: European Cybersecurity Strategy
[2] ΕΚΚ: Επιχειρησιακό Κέντρο Κυβερνοασφάλειας – SOC: Security Operations Centre
[3] Βλ. εκτελεστική απόφαση του Συμβουλίου της Ευρωπαϊκής Ένωσης, 13 Ιουλίου 2021 (ST10152/21, ST10152/21 ADD1)
[4] «Στρατηγική και πολιτικές κυβερνοασφάλειας στο Δημόσιο Τομέα και δημιουργία Εθνικού Κέντρου Επιχειρήσεων Κυβερνοασφάλειας» (κωδικός ΟΠΣ ΤΑ 5150132), Δράση 16823 «Επένδυση στην Βελτίωση της Κυβερνοασφάλειας στο Δημόσιο και Δημιουργία Εθνικού Κέντρου Κυβερνοασφάλειας».
[5] ΤΑΑ: Ταμείο Ανάκαμψης & Ανθεκτικότητας – RRF: Recovery and Resilience Facility
[6] ΕΥΠ: Εθνική Υπηρεσία Πληροφοριών – NIS: National Intelligence Service
[7] ΚΕΤΥΑΚ: Κέντρο Τεχνολογικής Υποστήριξης, Ανάπτυξης και Καινοτομίας
[8] ΕΑΚ: Εθνική Αρχή Κυβερνοασφάλειας – NCA: National Cybersecurity Agency
[9] ΟΑΕΑΠ: Οµάδα Αντιµετώπισης Έκτακτων Αναγκών στην Πληροφορική – CERT: Computer Emergency Response Team
Απάντηση του κ. Breton εξ ονόματος της Ευρωπαϊκής Επιτροπής
Η στρατηγική κυβερνοασφάλειας της ΕΕ για την ψηφιακή δεκαετία[1] καθορίζει τον τρόπο με τον οποίο η ΕΕ θα προστατεύσει τους πολίτες, τις επιχειρήσεις και τους θεσμούς της από κυβερνοαπειλές.
Η στρατηγική προτείνει την ανάπτυξη ενός δικτύου κέντρων επιχειρήσεων ασφάλειας σε ολόκληρη την ΕΕ, μεταξύ άλλων με τη βελτίωση των υφιστάμενων κέντρων. Αυτό θα αποτελείται στην τελική του μορφή από διάφορες πολυκρατικές πλατφόρμες κέντρων επιχειρήσεων ασφάλειας, καθεμία από τις οποίες θα συγκεντρώνει τα εθνικά κέντρα επιχειρήσεων ασφάλειας, με τη στήριξη του προγράμματος «Ψηφιακή Ευρώπη» για τη συμπλήρωση της εθνικής χρηματοδότησης.
Για τον σκοπό αυτό, ως εθνικό κέντρο επιχειρήσεων ασφάλειας νοείται δημόσιος φορέας που ενεργεί ως κεντρικός κόμβος με την επιχειρησιακή ικανότητα να αποτελεί σημείο αναφοράς και πύλη προς άλλους δημόσιους ή ιδιωτικούς οργανισμούς που οι ίδιοι διαθέτουν σημαντικές ικανότητες να παράγουν, να ανταλλάσσουν, να λαμβάνουν και να αναλύουν δεδομένα που σχετίζονται με την κυβερνοασφάλεια.
Θα ενθαρρυνθεί η συνεργασία και η ανταλλαγή πληροφοριών μεταξύ των διαφόρων φορέων σε όλα τα επίπεδα μέσω της προμήθειας κοινού εξοπλισμού, λογισμικού και υπηρεσιών, της ανάπτυξης πλαισίων συνεργασίας, καθώς και ειδικών όρων που αποσκοπούν στην εξασφάλιση υψηλού επιπέδου διαλειτουργικότητας μεταξύ των υποστηριζόμενων έργων και υποδομών, η οποία θα εντάσσεται σε μια κοινή αρχιτεκτονική προσχεδίου υψηλού επιπέδου.
Εναπόκειται στα επιμέρους κράτη μέλη να καθορίσουν την οργάνωση και τη λειτουργία των κέντρων επιχειρήσεων ασφάλειας και των συναφών δραστηριοτήτων σε εθνικό επίπεδο. Οι επενδύσεις στην αλυσίδα εφοδιασμού ψηφιακής τεχνολογίας θα πρέπει να ανέρχονται τουλάχιστον στο 20 % του μηχανισμού ανάκαμψης και ανθεκτικότητας (ΜΑΑ), ύψους 672,5 δισ. EUR, αποτελούμενες από επιχορηγήσεις και δάνεια. Η Επιτροπή εκφράζει την ικανοποίησή της για τη χρήση των πόρων του ΜΑΑ για δράσεις που συνάδουν με τη στρατηγική κυβερνοασφάλειας της ΕΕ, αλλά δεν είναι σε θέση να παράσχει πληροφορίες σχετικά με τα πρότυπα λειτουργίας που χρησιμοποιούνται για την υλοποίηση παρόμοιων έργων σε άλλα κράτη μέλη.
[1] Ευρωπαϊκή Επιτροπή και ύπατος εκπρόσωπος της Ένωσης για θέματα Εξωτερικής Πολιτικής και Πολιτικής Ασφάλειας, Κοινή ανακοίνωση προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο με τίτλο «Η στρατηγική κυβερνοασφάλειας της ΕΕ για την ψηφιακή δεκαετία», JOIN(2020) 18 final, Βρυξέλλες, 16.12.2020.