BILAGA

Plan för samordnade insatser vid stora gränsöverskridande cyberincidenter och cyberkriser

INLEDNING

Denna plan är avsedd att användas vid cyberincidenter som leder till störningar som är så omfattande att den berörda medlemsstaten inte kan hantera dem på egen hand, eller som påverkar två eller flera medlemsstater eller EU-institutioner och har så vidsträckta och betydande tekniska eller politiska konsekvenser att det krävs snabb politisk samordning och reaktion på EU-nivå.

En sådan storskalig cyberincident betraktas som en ”kris”.

Om en EU-omfattande kris med it-relaterade inslag skulle uppstå är det rådet som svarar för den politiska samordningen på EU-nivå, med användning av EU:s arrangemang för integrerad politisk krishantering (IPCR).

Inom kommissionen sker samordningen i enlighet med varningssystemet Argus.

Om krisen är sådan att den yttre politiken eller den gemensamma säkerhets- och försvarspolitiken (GSFP) berörs på ett betydande sätt aktiveras den Europeiska utrikestjänstens (EEAS) krishanteringsmekanism.

I den här planen beskrivs hur man inom dessa etablerade krishanteringsmekanismer bör utnyttja både de befintliga enheterna för cybersäkerhet på EU-nivå och arrangemangen för samarbete mellan medlemsstaterna.

Planen utgår från ett antal grundprinciper (proportionalitet, subsidiaritet, komplementaritet och konfidentialitet) och lägger fram de centrala målen för samarbetet (effektiva insatser, gemensam situationsmedvetenhet, offentlig kommunikation) på tre nivåer (strategisk/politisk, operativ och teknisk nivå), vilka mekanismer och aktörer som är inblandade samt vilka åtgärder som ska användas för att uppfylla de centrala målen.

Planen täcker inte krishanteringens hela cykel (förebyggande/begränsande åtgärder, beredskap, insatser och återställande) utan är inriktad på insatsfasen. Vissa andra åtgärder behandlas dock, särskilt åtgärder för att nå en gemensam situationsmedvetenhet.

Det är också viktigt att notera att cyberincidenter kan vara upprinnelsen till eller ingå i en bredare kris som påverkar andra sektorer. Eftersom de flesta cyberkriser även kan förväntas ge direkta fysiska effekter måste man svara på sådana kriser med hjälp av både it-åtgärder och andra begränsningsåtgärder. Krishanteringen bör samordnas med andra krishanteringsmekanismer på EU-nivå, nationell eller sektorspecifik nivå.

Slutligen bör det påpekas att denna plan inte ersätter eller påverkar några befintliga mekanismer, arrangemang eller instrument som inrättats inom vissa sektorer eller policyområden, som till exempel inom det europeiska globala systemet för satellitnavigering (GNSS) (1).

Grundprinciper

Nedanstående principer ligger till grund för arbetet mot att uppnå målen och för att fastställa vilka åtgärder som krävs, och fördela roller och ansvarsområden mellan olika aktörer eller mekanismer. Samma principer måste också beaktas när vidare riktlinjer för genomförandet utarbetas i framtiden.

Proportionalitet: De allra flesta cybersincidenter som drabbar medlemsstaterna är långt mindre omfattande än vad som kan anses utgöra en nationell ”kris”, och än mindre en kris på EU-nivå. Grunden för samarbete mellan medlemsstaterna för att reagera på sådana incidenter utgörs av nätverket för enheter för hantering av it-säkerhetsincidenter (Computer Security Incident Response Teams, CSIRT-enheter) som inrättats genom direktivet för säkerhet i nätverks- och informationssystem (2). Nationella CSIRT-enheter samarbetar och utbyter information på daglig och frivillig basis, och vid behov även som svar på cyberincidenter som påverkar en eller flera medlemsstater, i enlighet med nätverkets operationella standardförfaranden. I den föreliggande planen bör man därför utnyttja dessa standardförfaranden och se till att de omfattar specifika arbetsuppgifter som rör cyberkriser.

Subsidiaritet: Subsidiaritetsprincipen är av central betydelse. Medlemsstaterna har huvudansvaret för att vidta omedelbara åtgärder om de drabbas av storskaliga cyberincidenter eller cyberkriser, men EU-kommissionen, Europeiska utrikestjänsten och andra av EU:s institutioner, kontor, byråer och organ spelar en viktig roll. Detta framgår tydligt av IPCR-arrangemanget, men har även stöd i unionsrätten eller motiveras helt enkelt av att cyberincidenter och cyberkriser kan påverka alla delar av den inre marknadens ekonomiska aktivetet, unionens säkerhet och internationella förbindelser, liksom institutionerna själva.

Komplementaritet: Planen har tagits fram med full hänsyn till befintliga mekanismer för krishantering på EU-nivå: EU-arrangemanget för integrerad politisk krishantering (IPCR), Argus och EEAS krishanteringsmekanism. I planen integreras också strukturerna och mekanismerna i det nya direktivet om nät- och informationssäkerhet (dvs. nätverket med CSIRT-enheter) samt relevanta byråer och organ, dvs. Europeiska unionens byrå för nät- och informationssäkerhet (Enisa), Europeiska it-brottscentrumet vid Europol (Europol/EC3), Europeiska unionens underrättelseanalyscentrum (EU Intcen), direktoratet för underrättelseverksamhet vid Europeiska unionens militära stab (EUMS INT) och lägescentralen (Sitroom) i Intcen, vilka arbetar tillsammans som Siac (Single Intelligence Analysis Capacity), EU:s gemensamma enhet för hybridhot (inom Intcen) samt incidenthanteringsorganisationen för EU:s institutioner och byråer (CERT-EU). Planen måste vara utformad så att samspelet och samarbetet mellan dessa strukturer och mekanismer ger största möjliga komplementaritet och minsta möjliga överlappning.

Konfidentialitet: Allt utbyte av information inom ramen för denna plan måste följa tillämpliga säkerhetsbestämmelser (3), bestämmelser om skydd av personuppgifter och Traffic Light Protocol (4). För utbyte av säkerhetsskyddsklassificerade uppgifter ska tillgängliga ackrediterade verktyg (5) användas, oavsett vilket klassificeringssystem som tillämpas. När det gäller behandling av personuppgifter måste utbytet ske i linje med gällande EU-regler, särskilt den allmänna dataskyddsförordningen (6), direktivet om integritet och elektronisk kommunikation (7) samt förordningen om skydd för enskilda då unionens institutioner, organ, kontor och byråer behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (8).

Centrala mål

Samarbetet enligt denna plan ligger på tre nivåer såsom nämnts ovan – politisk, operativ och teknisk nivå. Samarbetet kan på varje nivå omfatta informationsutbyte och gemensamma åtgärder, och syftar till att uppnå följande centrala mål:

—

Möjliggöra effektiva insatser: Insatser kan göras på många olika sätt, allt från att identifiera tekniska åtgärder, vilket kan innebära att två eller fler enheter gemensamt utreder incidentens tekniska orsaker (t.ex. analys av sabotageprogram) eller att identifiera metoder som en organisation kan använda för att se om den har drabbats (t.ex. angreppsindikatorer, IOC), till att fatta operativa beslut om att tillämpa sådana tekniska åtgärder och på politisk nivå besluta att utlösa andra instrument, såsom EU:s diplomatiska respons mot fientlig internetverksamhet (verktygslåda för cyberdiplomati) eller EU:s operativa protokoll för att motverka hybridhot, beroende på typen av incident.

—

Uppnå en gemensam situationsmedvetenhet: Att alla berörda aktörer på samtliga tre nivåer (teknisk, operativ och politisk nivå) har en tillräckligt god förståelse av händelserna allteftersom de utvecklas är nödvändigt för en samordnad reaktion. Situationsmedvetenhet kan handla om tekniska uppgifter om incidentens orsaker såväl som dess konsekvenser och ursprung. Eftersom cyberincidenter kan drabba många olika områden (finans, energi, transport, hälso- och sjukvård etc.) är det mycket viktigt att lämplig information, i lämplig form, utan dröjsmål når alla berörda aktörer.

—

Enas om centrala budskap för offentlig kommunikation (9): Kriskommunikation spelar en viktig roll för att begränsa de negativa effekterna av cyberincidenter och cyberkriser, men kan också användas för att påverka de (potentiella) angriparnas beteende. Ett lämpligt budskap kan också användas för att tydligt signalera de sannolika konsekvenserna av ett diplomatiskt svar och därigenom påverka angriparnas beteende. Enhetlig offentlig kommunikation för att begränsa de negativa effekterna av cyberincidenter och cyberkriser och för att påverka en angripare är avgörande för att politiska åtgärder ska fungera. Särskilt viktigt för cybersäkerheten är att sprida korrekt och praktisk information om vad allmänheten kan göra för att begränsa effekterna av en incident (till exempel att använda en patch eller agera på annat sätt för att undvika hotet).

SAMARBETE MELLAN MEDLEMSSTATER OCH MELLAN MEDLEMSSTATER OCH EU-AKTÖRER PÅ TEKNISK, OPERATIV OCH STRATEGISK/POLITISK NIVÅ

Effektiv respons på stora cyberincidenter eller cyberkriser på EU-nivå är beroende av ett effektivt tekniskt, operativt och strategiskt/politiskt samarbete.

På varje nivå har de berörda aktörerna specifika uppgifter för att uppnå tre centrala mål:

—	Samordnade insatser

—	Gemensam situationsmedvetenhet

—	Offentlig kommunikation

Under loppet av incidenten eller krisen varnar, informerar och stödjer lägre samarbetsnivåer de högre nivåerna, och de högre nivåerna ger vägledning (10) och fattar beslut åt de lägre nivåerna, efter behov.

Samarbete på teknisk nivå

Typ av aktiviteter:

—	Incidenthantering (11) under en cyberkris.

—	Övervakning av incidenter, inklusive löpande analys av hot och risker.

Potentiella aktörer:

Planens centrala samarbetsmekanism på teknisk nivå är nätverket för CSIRT-enheter, under ledning av ordförandeskapet och med sekretariatsstöd från Enisa.

—	Medlemsstater — De behöriga myndigheter och gemensamma kontaktpunkter som inrättas genom direktivet om nät- och informationssäkerhet. — CSIRT-enheter.

—	EU:s organ/kontor/byråer — Enisa. — Europol/EC3. — CERT-EU.

—

Europeiska kommissionen — ERCC (det operativa centrumet för samordning av katastrofberedskap vid GD Europeiskt civilskydd och humanitära biståndsåtgärder, med beredskap dygnet runt) och den utsedda ansvariga tjänstegrenen (antingen GD Kommunikationsnät, innehåll och teknik eller GD Migration och inrikes frågor beroende på typen av incident), generalsekretariatet (Argus-sekretariatet), GD Personal och säkerhet (säkerhetsdirektoratet), GD Informationsteknik (it-säkerhet). — För andra EU-byråer (12): respektive ansvarigt generaldirektorat inom kommissionen eller EEAS (första kontaktpunkt).

—	EEAS — Siac (Single Intelligence Analysis Capacity: EU Intcen, EUMS INT). — EU:s lägescentral och den utsedda ansvariga geografiska eller tematiska tjänstegrenen. — EU:s gemensamma enhet för hybridhot (ingår i EU Intcen – cybersäkerhet i samband med hybridhot).

Gemensam situationsmedvetenhet:

—

Som en del av det löpande samarbetet på teknisk nivå för att stödja en gemensam situationsmedvetenhet i unionen bör Enisa ta fram regelbundna tekniska EU-lägesrapporter om cyberincidenter och cyberhot, baserade på allmänt tillgänglig information, sin egen analys och rapporter som den får från medlemsstaternas CSIRT-enheter (på frivillig basis) eller de gemensamma kontaktpunkterna enligt direktivet om nät- och informationssäkerhet, det Europeiska it-brottscentrumet (EC3) vid Europol och CERT-EU och, i tillämpliga fall, Europeiska unionens underrättelseanalyscentrum (Intcen) vid den Europeiska utrikestjänsten (EEAS). Rapporten bör göras tillgänglig för berörda enheter inom rådet, kommissionen, den höga representanten/vice ordföranden och CSIRT-nätverket.

—	Om det rör sig om en större incident utarbetar CSIRT-nätverkets ordförande med bistånd av Enisa en EU-lägesrapport om cyberincidenten (13) som läggs fram för ordförandeskapet, kommissionen och den höga representanten/vice ordföranden genom det roterande ordförandeskapets CSIRT-enhet.

—	Alla andra EU-byråer rapporterar till sina respektive generaldirektorat som i sin tur rapporterar till kommissionens ansvariga avdelning.

—	CERT-EU ger tekniska rapporter till CSIRT-nätverket, EU:s institutioner och organ (enligt vad som är tillämpligt) och Argus (om aktiverat).

—	Europol/EC3  (14) och CERT-EU bistår CSIRT-nätverket med dataforensisk analys av tekniska artefakter och annan teknisk information.

—	EEAS Siac: EU:s gemensamma enhet för hybridhot rapporterar på Intcens vägnar till relevanta avdelningar inom EEAS.

Insatser:

—	CSIRT-nätverket utbyter tekniska uppgifter och teknisk analys om incidenten, som t.ex. IP-adresser och angreppsindikatorer (IOC) (15). Denna information bör ges utan onödigt dröjsmål till Enisa och inte senare än 24 timmar efter det att incidenten upptäcks.

—	I enlighet med standardrutinerna samverkar CSIRT-nätverkets medlemmar i arbetet med att analysera tillgängliga tekniska artefakter och annan teknisk information som rör incidenten för att fastställa orsaken och möjliga tekniska begränsningsåtgärder.

—	Enisa bistår CSIRT-enheternas tekniska verksamhet med sin sakkunskap och i enlighet med sitt mandat (16).

—	Medlemsstaternas CSIRT-enheter samordnar sina tekniska insatser med stöd från Enisa och kommissionen.

—	EEAS Siac: EU:s gemensamma enhet för hybridhot sätter på Intcens vägnar igång processen för att samla in preliminär bevisning.

Offentlig kommunikation:

—	CSIRT-enheterna upprättar teknisk rådgivning (17) och sårbarhetsvarningar (18) och sprider dem till sina respektive målgrupper och till allmänheten i enlighet med de godkännandeförfaranden som tillämpas i varje enskilt fall.

—	Enisa underlättar framställning och spridning av gemensam kommunikation från CSIRT-nätverket.

—	Enisa samordnar sin offentliga kommunikation med CSIRT-nätverket och kommissionens talespersonstjänst.

—	Enisa och EC3 samordnar sin offentliga kommunikation baserat på den gemensamma situationsbild som medlemsstaterna har kommit överens om. Båda samordnar sin offentliga kommunikation med kommissionens talespersonstjänst.

—	Om krisen är sådan att den yttre politiken eller den gemensamma säkerhets- och försvarspolitiken (GSFP) berörs, ska den offentliga kommunikationen samordnas med EEAS och den höga representantens/vice ordförandens talespersonstjänst.

Samarbete på operativ nivå

Typ av aktiviteter:

—	Underlag till beslut på politisk nivå.

—	Samordning av cyberkrisens hantering (efter behov).

—	Bedömning av konsekvenserna och påverkan på EU-nivå och förslag till begränsningsåtgärder.

Potentiella aktörer:

—	Medlemsstater — De behöriga myndigheter och gemensamma kontaktpunkter som inrättas genom direktivet om nät- och informationssäkerhet. — CSIRT-enheter, EU:s byråer för cybersäkerhet. — Andra nationella sektorsmyndigheter (om incidenten eller krisen berör flera sektorer).

—	EU:s organ/kontor/byråer — Enisa. — Europol/EC3. — CERT-EU.

—	Europeiska kommissionen — Generalsekretariatets (ställföreträdande) generalsekreterare (Argus). — GD Kommunikationsnät, innehåll och teknik/GD Migration och inrikes frågor. — Kommissionens säkerhetsmyndighet. — Andra generaldirektorat (om incidenten eller krisen berör flera sektorer).

—	EEAS — Den (ställföreträdande) generalsekreteraren för krishantering och Siac (EU Intcen och EUMS INT). — EU:s gemensamma enhet för hybridhot.

—	Rådet — Ordförandeskapet (ordföranden för den övergripande arbetsgruppen för cyberfrågor eller Coreper (19)) med stöd av rådets generalsekretariat eller kommittén för utrikes- och säkerhetspolitik (Kusp) (20) och med hjälp av IPCR-arrangemanget (om det aktiveras).

Situationsmedvetenhet:

—	Bidrag till utarbetandet av politiska och strategiska lägesrapporter (t.ex. ISAA-rapporter om IPCR aktiveras).

—	Rådets övergripande arbetsgrupp för cyberfrågor förbereder möten i Coreper eller Kusp, beroende vilket som är tillämpligt.

—

Om IPCR aktiveras: — Ordförandeskapet kan begära rundabordssamtal i samband med förberedelserna för mötena i Coreper eller Kusp, och bjuda in relevanta aktörer från medlemsstaterna, institutionerna, organen och utomstående parter, t.ex. tredjeländer och internationella organisationer. Dessa samtal är krismöten för att identifiera flaskhalsproblem och utarbeta förslag till åtgärder för övergripande frågor. — Kommissionens ansvariga tjänstegren eller EEAS ansvarar för processen för integrerad situationsmedvetenhet och -analys (ISAA) och utarbetar ISAA-rapporten med bidrag från Enisa, CSIRT-nätverket, Europol/EC3, EUMS INT, Intcen och alla andra berörda aktörer. I ISAA-rapporten görs en EU-omfattande bedömning på grundval av korrelation mellan tekniska incidenter och krisbedömning (hotbildsanalys, riskbedömning, icke-tekniska konsekvenser och effekter, ej it-relaterade aspekter av incidenten eller krisen etc.) som är anpassad till de operativa och politiska behoven.

—	Om Argus aktiveras: — CERT-EU och EC3 (21) bidrar direkt till informationsutbytet inom kommissionen.

—	Om EEAS krishanteringsmekanism aktiveras: — Siac intensifierar sitt arbete med att samla in uppgifter och sammanställer information från alla källor samt utarbetar en analys och bedömning av incidenten.

Insatser (efter begäran på politisk nivå):

—	Gränsöverskridande samarbete med gemensamma kontaktpunkter och nationella behöriga myndigheter (direktivet om nät- och informationssäkerhet) för att begränsa konsekvenser och effekter.

—	Aktivering av alla tekniska begränsningsåtgärder och samordning av den tekniska kapacitet som krävs för att stoppa attacken eller minska effekterna på de angripna informationssystemen.

—	Samarbete och, om så beslutas, samordning av teknisk kapacitet för att möjliggöra gemensamma eller samordnade insatser i enlighet med CSIRT-nätverkets standardrutiner .

—	Bedömning av behovet av samarbete med relevanta tredje parter.

—	Beslutsfattande enligt Argus-processen (om aktiverad).

—	Utarbetande av beslut och samordning enligt IPCR-arrangemanget (om aktiverat).

—	Stöd till EEAS beslutsfattande genom EEAS krishanteringsmekanism (om aktiverad), även när det gäller kontakter med tredjeländer och internationella organisationer samt åtgärderför att skydda GSFP-uppdrag och GSFP-insatser och EU:s delegationer.

Offentlig kommunikation:

—	Enas om offentliga meddelanden om händelsen.

—	Om krisen är sådan att den yttre politiken eller den gemensamma säkerhets- och försvarspolitiken (GSFP) berörs, ska den offentliga kommunikationen samordnas med EEAS och den höga representantens/vice ordförandens talespersonstjänst.

Samarbete på strategisk/politisk nivå

Potentiella aktörer:

—	Medlemsstaterna: ministrar med ansvar för cybersäkerhet.

—	Europeiska rådet: ordföranden.

—	Rådet: det roterande ordförandeskapet.

—	Vid åtgärder inom ramen för ”verktygslådan för cyberdiplomati”: Kusp och den övergripande arbetsgruppen.

—	Europeiska kommissionens ordförande: ordföranden eller vice ordförande/kommissionsledamot med delegerad behörighet.

—	Unionens höga representant för utrikes frågor och säkerhetspolitik/vice ordförande för kommissionen.

Typ av aktiviteter: Strategisk och politisk hantering av krisens it-aspekter och andra aspekter, däribland åtgärder inom ramen för EU:s gemensamma diplomatiska respons mot fientlig internetverksamhet.

Gemensam situationsmedvetenhet:

—	Identifiering av hur de störningar som krisen orsakar påverkar EU:s funktionssätt.

Insatser:

—	Aktivera ytterligare krishanteringsmekanismer och krishanteringsinstrument beroende på typ av incident och dess effekter. Civilskyddsmekanismen kan till exempel bli aktuell.

—	Vidta åtgärder inom ramen för EU:s gemensamma diplomatiska respons mot fientlig internetverksamhet.

—	Tillhandahålla akut stöd till berörda medlemsstater, till exempel genom en fond för nödåtgärder i samband med cyberhot (22), när en sådan fond finns tillgänglig.

—	Samarbete och samordning med internationella organisationer när så är lämpligt, t.ex. Förenta nationerna (FN), Organisationen för säkerhet och samarbete i Europa (OSSE) och i synnerhet Nato.

—	Bedöma nationella säkerhets- och försvarskonsekvenser.

Offentlig kommunikation:

Besluta om en gemensam kommunikationsstrategi gentemot allmänheten.

SAMORDNADE INSATSER TILLSAMMANS MED MEDLEMSSTATERNA PÅ EU-NIVÅ INOM RAMEN FÖR IPCR-ARRANGEMANGEN

Enligt principen om komplementaritet på EU-nivå är detta avsnitt särskilt inriktat på det centrala målet och de ansvarsområden och uppgifter som sköts om av medlemsstaternas myndigheter, CSIRT-nätverket, Enisa, CERT-EU, Europol/EC3, Intcen, EU:s gemensamma enhet för hybridhot och rådets arbetsgrupp för övergripande frågor om cybersäkerhet inom IPCR-processen. Aktörer förväntas agera i enlighet med fastställda förfaranden på EU-nivå eller nationell nivå.

Det bör särskilt noteras att det i samband med en incident/kris vidtas åtgärder både på nationell nivå och (när så krävs) inom CSIRT-nätverket. Detta sker enligt subsidiaritets- och proportionalitetsprinciperna, men oberoende av om EU:s krishanteringsmekanism kopplas in eller ej. Se figur 1.

Figur 1

Hantering av cyberincidenter/-kriser på EU-nivå

Samtliga uppgifter som beskrivs nedan ska utföras i enlighet med och under efterlevande av de operativa standardförfarandena/bestämmelserna för berörda samarbetsmekanismer och i enlighet med de mandat och befogenheter som fastställts för enskilda aktörer och institutioner. För att uppnå bästa möjliga samarbete och effektivt kunna bemöta storskaliga cyberincidenter och cyberkriser kan det krävas vissa tillägg till eller ändringar av dessa förfaranden/bestämmelser.

Inte alla aktörer som omnämns nedan kan åläggas att vidta åtgärder i samband med en viss incident. Ändå bör planen och samarbetsmekanismernas relevanta operativa standardförfaranden beakta dessa aktörers eventuella medverkan.

En cyberincident eller cyberkris kan påverka samhället i olika hög grad. Därför blir både cyberåtgärder och andra åtgärder nödvändiga, om en hög grad av flexibilitet ska kunna uppnås i fråga om medverkan av sektorernas aktörer på alla nivåer och eventuella lämpliga reaktioner.

Cybersäkerhet och krishantering – cybersäkerhet som en del av IPCR-processen

De IPCR-arrangemang som beskrivs i standardförfarandena för IPCR (23) följer successivt de steg som beskrivs nedan (vissa av dessa steg vidtas beroende på situationen).

För varje steg anges verksamhet och aktörer med särskild inriktning på cybersäkerhet. Vid varje steg visas, som en läshjälp, texten från standardförfarandena för IPCR åtföljd av de särskilda åtgärderna i planen. Genom detta sekventiella tillvägagångssätt blir det också möjligt att identifiera luckor i fråga om kapacitet och förfaranden som lägger hinder i vägen för en effektiv insats vid cyberkriser.

Figur 2 (nedan (24)) är en grafisk återgivning av IPCR-processen där de nya inslagen är blåmarkerade.

Figur 2

Särskilda delar av IPCR med särskild inriktning på cybersäkerhet

Anm.: Med tanke på den typ av hybridhot på it-området som är utformat för att ligga under tröskeln för en uppenbar kris måste EU vidta både förebyggande åtgärder och beredskapsåtgärder. EU:s gemensamma enhet för hybridhot har till uppgift att snabbt analysera relevanta incidenter och underrätta berörda samordningsstrukturer. Den regelbundna rapporteringen från enheten kan tjäna som information i utformningen av den sektoriella politiken för ökad beredskap.

—

Steg 1 – Regelbunden sektoriell övervakning och förvarning: De befintliga regelbundna sektoriella lägesrapporterna och förvarningarna ger rådets ordförandeskap indikationer om kriser under uppsegling och deras tänkbara utveckling. — Identifierade luckor: På EU-nivå finns för närvarande inga regelbundna och samordnade lägesrapporter om cybersäkerheten och förvarningar om incidenter (och hot) avseende cybersäkerheten. — Plan Cybersäkerheten inom EU – säkerhetsläge och övervakning/rapportering — En regelbunden teknisk lägesrapport om cybersäkerheten i EU om incidenter och hot avseende cybersäkerheten kommer att utarbetas av Enisa på grundval av offentligt tillgänglig information, egna analyser och rapporter som delas med Enisa genom medlemsstaternas CSIRT-nätverk (frivilligt) eller it-säkerhetsdirektivets kontaktpunkter, Europeiskt it-brottscentrum (EC3) vid Europol, CERT-EU och Europeiska unionens underrättelseanalyscentrum (Intcen) vid Europeiska utrikestjänsten. Rapporten ska göras tillgänglig för berörda rådsorgan, kommissionen och CSIRT-nätverket. — På uppdrag av Siac bör EU:s gemensamma enhet för hybridhot sammanställa en operativ lägesrapport om cybersäkerheten inom EU. Rapporten innebär också ett stöd till ramen för en gemensam diplomatisk respons från EU mot skadlig internetverksamhet. — Båda rapporterna sprids till aktörerna på EU-nivå och i medlemsstaterna för att bidra till deras orientering om läget och informera beslutsfattare samt för att underlätta gränsöverskridande regionalt samarbete.

När en incident har upptäckts

—

Steg 2 – Analys och rådgivning: Kommissionens avdelningar, utrikestjänsten och rådets generalsekretariat stöder sig på tillgängliga uppgifter om övervakning och förvarning för att hålla varandra underrättade om utvecklingen, så att de har beredskap att bistå ordförandeskapet för möjlig aktivering av IPCR (fullskalig eller genom informationsutbyte). — Plan: — För kommissionen, GD Kommunikationsnät, innehåll och teknik, GD Migration och inrikes frågor, GD Personal och säkerhet samt GD Informationsteknik, med stöd av Enisa, EC3 och CERT-EU — EEAS. På grundval av det arbete som utförs av EU:s lägescentral (SitRoom) och underrättelsekällor tillhandahåller EU:s gemensamma enhet för hybridhot situationsmedvetenhet om faktiska och potentiella hybridhot som påverkar EU och dess partner, särskilt i fråga om cyberhot. När den analysen och bedömningen från EU:s gemensamma enhet för hybridhot antyder förekomst av möjliga hot mot en medlemsstat, partnerländer eller partnerorganisationer, kommer Intcen i enlighet med fastställda förfaranden att (i första hand) sprida information på operativ nivå. På operativ nivå utarbetas sedan rekommendationer för den politiskt strategiska nivån, också om att eventuellt övergå från övervakning till krishanteringsåtgärder (t.ex. utrikestjänstens mekanism för krishantering eller IPCR:s övervakningssida). — CSIRT-nätverkets ordförande, med bistånd av Enisa, utarbetar en EU-lägesrapport om cyberincidenten (25) som läggs fram för ordförandeskapet, kommissionen och den höga representanten/vice ordföranden genom det roterande ordförandeskapets CSIRT-enhet.

—

Steg 3 – Bedömning/beslut om IPCR-aktivering: Ordförandeskapet utvärderar behovet av politisk samordning, informationsutbyte och beslutsfattande på EU-nivå. I detta syfte kan ordförandeskapet sammankalla ett informellt rundabordsmöte. Ordförandeskapet gör en första kartläggning av de områden som kräver insatser av Coreper eller rådet. Detta utgör grunden för riktlinjerna för utarbetandet av rapporterna om integrerad situationsmedvetenhet och -analys. Ordförandeskapet kommer, mot bakgrund av krisens natur, dess eventuella konsekvenser och relaterade politiska behov, att besluta om behovet av att sammankalla möten i rådets berörda arbetsgrupper och/eller Coreper och Kusp. — Plan — Deltagare i rundabordsmötena: — Kommissionen och utrikestjänsten kommer att bistå ordförandeskapet med råd inom sina respektive behörighetsområden. — Medlemsstaternas företrädare i den övergripande arbetsgruppen för cyberfrågor, med stöd av experter från medlemsstaterna (CSIRT-enheter, myndigheter med behörighet i cybersäkerhet och andra). — Politisk/strategisk vägledning för ISAA-rapporterna på grundval av den senaste lägesrapporten om cyberincidenter och kompletterande uppgifter från deltagarna i rundabordsmötet. — Relevanta arbetsgrupper och kommittéer: — Den övergripande arbetsgruppen för cyberfrågor. Kommissionen, Europeiska utrikestjänsten och rådets generalsekretariat, i fullt samförstånd och samråd med ordförandeskapet, kan också besluta om aktivering av IPCR i informationsutbytesfasen genom att skapa en krishemsida, som förberedelse inför en eventuell fullskalig aktivering.

—

Steg 4 – IPCR-aktivering/-insamling och utbyte av information: Vid aktivering (i form av informationsutbyte eller fullskaligt), skapas en krishemsida på IPCR:s webbplattform som medger särskilt informationsutbyte kring aspekter som kommer att bidra till en integrerad situationsmedvetenhet och situationsanalys och förbereda diskussionen på politisk nivå. Vilken avdelning som ansvarar för integrerad situationsmedvetenhet och situationsanalys (vid kommissionen eller Europeiska utrikestjänsten) beror på omständigheterna i det enskilda fallet.

—

Steg 5 – Utarbetande av rapporterna om integrerad situationsmedvetenhet och situationsanalys: Utarbetandet av ISAA-rapporterna kommer att inledas. Kommissionen och utrikestjänsten kommer att lägga fram rapporterna enligt de operationella standardförfarandena och kan ytterligare främja informationsutbytet på IPCR:s webbplattform, eller utfärda särskilda förfrågningar om information. Rapporterna utformas efter behoven på politisk nivå (dvs. Coreper eller rådet) enligt vad som fastställs av ordförandeskapet och anges i vägledningen. Därigenom medges en strategisk överblick av situationen och en saklig diskussion om de punkter på dagordningen som fastställts av ordförandeskapet. Enligt de operationella standardförfarandena är det cyberkrisens natur som avgör huruvida rapporten utarbetats av något av kommissionens direktorat (GD Kommunikationsnät, innehåll och teknik eller GD Migration och inrikes frågor) eller av Europeiska utrikestjänsten. När IPCR aktiverats kommer ordförandeskapet att skissera särskilda fokusområden för integrerad situationsmedvetenhet och situationsanalys för att stödja den politiska samordningen och/eller beslutsprocessen i rådet. Efter samråd med kommissionens avdelningar och utrikestjänsten kommer ordförandeskapet också att ange tidpunkten för rapporten. — Plan — Rapporten innehåller bidrag från berörda tjänster, däribland — CSIRT-nätverket i form av lägesrapporten om cyberincidenter i EU, — EC3, EU:s lägescentral, EU:s gemensamma enhet för hybridhot och CERT-EU. EU:s gemensamma enhet för hybridhot kommer att stödja och bidra till den avdelning som ansvarar för rapporten och IPCR:s rundabordssamtal, beroende på vad som är tillämpligt, — EU:s olika byråer och organ beroende på de sektorer som påverkas, — medlemsstaternas myndigheter (men inte CSIRT-enheterna). — Insamling av data till den integrerade situationsmedvetenheten och situationsanalysen (26): — Kommissionen och EU-organ: It-systemet Argus står för det interna kärnnätverket för integrerad situationsmedvetenhet och situationsanalys. EU:s byråer skickar sina bidrag till sina respektive ansvariga generaldirektorat, vilka i sin tur kommer att förse Argus med relevant information. Kommissionens avdelningar och byråer samlar in information från befintliga sektoriella nätverk tillsammans med medlemsstaterna och internationella organisationer och från andra relevanta källor. — Europeiska utrikestjänsten: EU:s lägescentral, som stöds av övriga berörda avdelningar inom utrikestjänsten, står för det interna kärnnätverket och är gemensam kontaktpunkt för integrerad situationsmedvetenhet och situationsanalys. Europeiska utrikestjänsten inhämtar upplysningar från tredjeländer och berörda internationella organisationer.

—

Steg 6 – Förberedelser inför ordförandeskapets informella rundabordssamtal: Ordförandeskapet, biträtt av rådets generalsekretariat, fastställer tidsplan, dagordning, deltagare, förväntade resultat (eventuella konkreta sådana) för ordförandeskapets informella rundabordsmöte. På uppdrag av ordförandeskapet vidarebefordrar generalsekretariatet relevant information på IPCR:s webbplattform, och särskilt då kungörelsen av mötet.

—

Steg 7 – Ordförandeskapets rundabordsmöte/förberedelser för EU:s politiska samordning/beslutsfattande: Ordförandeskapet sammankallar ett informellt rundabordsmöte för att se över situationen samt för att förbereda och se över punkter som ska meddelas Coreper eller rådet. Ordförandeskapets informella rundabordssamtal blir också ett forum för utveckling, granskning och diskussion av alla förslag till åtgärder som ska läggas fram för Coreper/rådet. — Plan: — Rådets övergripande arbetsgrupp för it-frågor bör utarbeta underlag åt Kusp och Coreper.

—

Steg 8 – Politisk samordning och beslutsfattande i Coreper/rådet: Resultatet av Corepers/rådets möten avser samordning av reaktionerna på samtliga nivåer, beslut om undantagsåtgärder, politiska uttalanden osv. Dessa beslut utgör också en uppdaterad politisk/strategisk vägledning för vidare utarbetande av rapporter om integrerad situationsmedvetenhet och situationsanalys. — Plan — Det politiska beslutet att samordna insatserna mot cyberkrisen ska genomföras genom den verksamhet (utförd av respektive aktörer) som beskrivs ovan i avsnitt 1 ”Samarbete på teknisk, operativ och strategisk/politisk nivå” i fråga om insatser och offentlig kommunikation. — Utarbetande av rapporter om integrerad situationsmedvetenhet och situationsanalys fortsätter på grundval av samarbete på teknisk, operativ och politisk/strategisk nivå i fråga om situationsmedvetenhet, vilket också beskrivs i avsnitt 1.

—

Steg 9 – Effektövervakning: Den enhet som ansvarar för integrerad situationsmedvetenhet och situationsanalys, med stöd av dem som bidrar till arbetet, kommer att tillhandahålla information om krisens utveckling och effekterna av de politiska beslut som fattats. Denna återkoppling blir ett stöd i utvecklingsprocessen och i ordförandeskapets beslut om fortsatt deltagande från EU:s politiska nivå eller utfasning av IPCR.

—

Steg 10 – Utfasning: Enligt samma förfarande som för aktiveringen kan ordförandeskapet sammankalla ett informellt rundabordsmöte för att bedöma möjligheten att låta IPCR förbli aktiv. Ordförandeskapet kan besluta att avsluta eller nedgradera aktiveringen. — Plan — Enisa kan uppmanas att, i enlighet med sitt mandat, bidra till eller utföra en teknisk efterhandsundersökning av incidenten.

---

(1)  Beslut 2014/496/Gusp.

(2)  Direktiv (EU) 2016/1148.

(3)  Kommissionens beslut (EU, Euratom) 2015/443 av den 13 mars 2015 om säkerhet inom kommissionen (EUT L 72, 17.3.2015, s. 41) och kommissionens beslut (EU, Euratom) 2015/444 av den 13 mars 2015 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 72, 17.3.2015, s. 53). Beslut av unionens höga representant för utrikes frågor och säkerhetspolitik av den 19 april 2013 om Europeiska utrikestjänstens säkerhetsbestämmelser (EUT C 190, 29.6.2013, s. 1). Rådets beslut 2013/488/EU av den 23 september 2013 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 274, 15.10.2013, s. 1).

(4)  https://www.first.org/tlp/

(5)  I juni 2016 fanns följande kanaler för överföring av information: Cims (Classified Information Management System), Acid (krypteringsalgoritmer), RUE (säkert system för att skapa, utbyta och lagra dokument klassificerade som RESTREINT UE/EU RESTRICTED) och Solan. Andra sätt att t.ex. överföra säkerhetsskyddsklassificerad information är PGP eller S/MIME.

(6)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(7)  Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EUT L 201, 31.7.2002, s. 37).

(8)  Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1) – under översyn.

(9)  I detta sammanhang är det viktigt att notera att offentlig kommunikation kan vara både kommunikation om incidenten till allmänheten i stort eller förmedling av mer teknisk eller operativ information till kritiska sektorer och/eller till de drabbade. För detta kan man behöva använda konfidentiella kanaler för informationsspridning och särskilda tekniska verktyg eller plattformar. I båda fallen är kommunikation med aktörer och med allmänheten inom landet varje medlemsstats egen behörighet och dess eget ansvar. Därför, och i linje med subsidiaritetsprincipen som beskrivs ovan, har medlemsstaterna det yttersta ansvaret för den information som sprids inom deras territorium och de nationella CSIRT-enheterna har ansvar för informationen till sin målgrupp.

(10)  Tillstånd att agera – vid cyberkriser är snabba reaktionstider av avgörande betydelse för att fastställa lämpliga begränsningsåtgärder. För att göra det möjligt att reagera snabbt kan en medlemsstat frivilligt ge en annan medlemsstat ”tillstånd att agera” så att den medlemsstaten kan agera omedelbart, utan att behöva samråda med högre nivåer eller EU-institutionerna eller gå genom alla officiella kanaler som krävs i normalfallet, när detta inte är nödvändigt vid en viss incident (en CSIRT-enhet bör t.ex. inte vara tvungen att samråda med högre nivåer för att vidarebefordra värdefull information till en CSIRT-enhet i en annan medlemsstat).

(11)  Med incidenthantering avses alla förfaranden som stöder upptäckt, analys och begränsning av en incident och insatser mot incidenten.

(12)  Relevanta EU-byråer eller EU-organ deltar beroende på typ av incident och dess konsekvenser för olika sektorer (ekonomi, transport, energi, hälso- och sjukvård etc.).

(13)  EU-lägesrapporter om cyberincidenter är sammanställningar av nationella rapporter från nationella CSIRT-enheter. Rapportens format ska beskrivas i CSIRT-nätverkets operationella standardförfaranden.

(14)  I enlighet med regelverket för EC3 och gällande villkor och förfaranden.

(15)  Angreppsindikator (indicator of compromise, IOC) är inom dataforensik en artefakt som kan observeras i ett nätverk eller ett operativsystem och som med mycket stor säkerhet påvisar ett intrång. Typiska sådana indikatorer är virussignaturer och IP-adresser, MD5-hashvärden för sabotageprogram eller URL eller domännamn för command and control-servar i botnät.

(16)  Förslag till förordning om en europeisk byrå för cybersäkerhet, Enisa, och om upphävande av förordning (EU) nr 526/2013 samt om cybersäkerhetscertifiering för informations- och kommunikationsteknik av den 13 september 2017.

(17)  Rådgivning av teknisk natur om orsakerna till incidenten och möjliga begränsningsåtgärder.

(18)  Information om de tekniska svagheter som utnyttjas för att störa it-systemen.

(19)  Ständiga representanternas kommitté/Coreper (artikel 240 i fördraget om Europeiska unionens funktionssätt – EUF-fördraget) ansvarar för att förbereda arbetet i Europeiska unionens råd.

(20)  Kommittén för utrikes- och säkerhetspolitik är en kommitté inom Europeiska unionens råd som arbetar med den gemensamma utrikes- och säkerhetspolitiken (Gusp), som anges i artikel 38 i fördraget om Europeiska unionen.

(21)  I enlighet med regelverket för EC3 och gällande villkor och förfaranden.

(22)  En fond för nödåtgärder i samband med cyberhot föreslås i det gemensamma meddelandet om hög cybersäkerhet i EU, resiliens, avskräckande åtgärder och försvar, JOIN(2017) 450/1.

(23)  Från dokument 12607/15 ”IPCR: operationella standardförfaranden”, som antogs av gruppen Ordförandeskapets vänner och noterades av Coreper i oktober 2015

(24)  En större version av figuren återfinns i bilagan.

(25)  Lägesrapporten om cyberincidenter i EU är en sammanställning av nationella rapporter från nationella CSIRT-enheter. Rapportens format bör anges i CSIRT-nätverkets operationella standardförfaranden.

(26)  Operationella standardförfaranden för den integrerade situationsmedvetenheten och situationsanalysen.

TILLÄGG

1.   KRISHANTERING, SAMARBETSMEKANISMER OCH AKTÖRER PÅ EU-NIVÅ

Krishanteringsmekanismer

Arrangemanget för integrerad politisk krishantering (IPCR): Arrangemanget för integrerad politisk krishantering, som godkändes av rådet den 25 juni 2013 (1), är utformat för att underlätta snabb politisk samordning och reaktion på EU-nivå om det uppstår en omfattande kris. IPCR stöder också samordning på politisk nivå av åtgärder till följd av åberopande av solidaritetsklausulen (artikel 222 i EUF-fördraget), enligt definitionen i rådets beslut 2014/415/EU om närmare bestämmelser för unionens genomförande av solidaritetsklausulen som antogs den 24 juni 2014. IPCR:s operationella standardförfaranden (2) fastställer aktiveringsprocessen och de efterföljande åtgärder som ska vidtas.

Argus: Krishanteringssystem som inrättades av Europeiska kommissionen 2005 för att erbjuda en särskild samordningsprocess om det inträffar en omfattande kris som berör flera sektorer. Det stöds av ett allmänt förvarningssystem (it-verktyg) med samma namn. Argus omfattar två faser: Fas II (vid omfattande sektorsövergripande kris) triggar möten i krissamordningskommittén (CCC) som står under ansvar av kommissionens ordförande eller en för uppgiften särskilt utsedd kommissionsledamot. I krissamordningskommittén sammanförs företrädare för relevanta generaldirektorat inom kommissionen, kanslier och andra EU-avdelningar som ska leda och samordna de insatser som föranleds av krisen. Under ledning av den ställföreträdande generalsekreteraren ska krissamordningskommittén bedöma situationen, överväga olika möjligheter och anta genomförbara beslut vad gäller EU-verktygen och EU-instrumenten under kommissionens ansvar, och säkerställa att besluten genomförs (3)  (4).

EEAS krishanteringsmekanism: EEAS krishanteringsmekanism är ett strukturerat system genom vilket EEAS kan hantera kriser och nödsituationer av extern karaktär eller med en viktig yttre dimension – bl.a. hybridhot – och som kan påverka, eller som faktiskt påverkar, EU:s eller någon medlemsstats intressen. Genom att relevant tjänsteman från kommissionen och rådets sekretariat alltid medverkar vid krishanteringsmekanismens möten främjas synergieffekter mellan diplomatiska insatser, säkerhets- och försvarsinsatser och de finansiella instrument, handels- och samarbetsinstrument som förvaltas av kommissionen. Krisenheten kan aktiveras under krisens hela varaktighet.

Samarbetsmekanismer

CSIRT-nätverket: CSIRT-nätverket (nätverk för CSIRT-enheter) samlar alla nationella och statliga CSIRT-enheter och incidenthanteringsorganisationen för EU:s institutioner och byråer (CERT-EU). Nätverket har till syfte att möjliggöra och förbättra informationsutbytet mellan CSIRT-enheterna om hot och cyberincidenter och även samarbeta för att bemöta cyberincidenter och cyberkriser.

Rådets övergripande arbetsgrupp för cyberfrågor: Arbetsgruppen inrättades för att säkerställa strategisk och övergripande samordning inom rådet i frågor som rör cyberpolitik och kan involveras i både lagstiftande och icke-lagstiftande verksamhet.

Aktörer

Enisa: Europeiska unionens byrå för nät- och informationssäkerhet inrättades år 2004. Byrån arbetar nära medlemsstaterna och den privata sektorn för att ge råd och lösningar i frågor som EU-omfattande cybersäkerhetsövningar, utarbetandet av nationella strategier för cybersäkerhet, samarbete mellan CSIRT-enheterna och kapacitetsuppbyggnad. Enisa samarbetar direkt med CSIRT-enheter i hela EU och fungerar som sekretariat för CSIRT-nätverket.

ERCC: Det operativa centrumet för samordning av katastrofberedskap inom kommissionen (vid GD Europeiskt civilskydd och humanitära biståndsåtgärder, GD ECHO) har beredskap dygnet runt och stöder och samordnar ett brett spektrum av verksamhet som rör förebyggande åtgärder, beredskap och insatser. Centrumet invigdes 2013 och fungerar som sambandscentral för kommissionens krishantering (samverkar med andra EU-centrum för krisberedskap), bland annat som IPCR:s centrala kontaktpunkt dygnet runt.

Europol/EC3: Europeiska it-brottscentrumet vid Europol (EC3) inrättades 2013 inom Europol och stöder brottsbekämpande insatser mot it-brottslighet i EU. EC3 erbjuder operativt och analytiskt stöd till medlemsstaternas utredningar och tjänar som centralenhet för brottsinformation och underrättelser och stöder medlemsstaternas insatser och undersökningar med operativ analys, samordning och sakkunskap samt högspecialiserad teknisk och digital kriminalteknisk stödkapacitet.

CERT-EU: Incidenthanteringsorganisationen för EU:s institutioner och byråer har i uppdrag att förbättra EU-institutionernas och EU-byråernas skydd mot cyberhot. Den ingår i CSIRT-nätverket. CERT-EU har tekniska avtal om utbyte av information om cyberhot med Nato CIRC, vissa tredjeländer och viktiga kommersiella aktörer på området för cybersäkerhet.

EU:s underrättelsetjänst omfattar Europeiska unionens underrättelseanalyscentrum (Intcen) och direktoratet för underrättelseverksamhet vid Europeiska unionens militära stab (EUMS INT) och de arbetar tillsammans som SIAC (Single Intelligence Analysis Capacity). Siacs uppdrag är att tillhandahålla underrättelseanalys, tidig varning och situationsmedvetenhet till Europeiska unionens höga representant för utrikes frågor och säkerhetspolitik och till Europeiska utrikestjänsten (EEAS). Siac erbjuder sina tjänster till EU:s olika beslutande organ på områdena för den gemensamma utrikes- och säkerhetspolitiken (Gusp), den gemensamma säkerhets- och försvarspolitiken (GSFP) och terroristbekämpning, samt till medlemsstaterna. EU Intcen och EUMS INT är inte operativa byråer och har ingen kapacitet att samla underrättelser. Det operativa ansvaret för underrättelseverksamheten ligger hos medlemsstaterna. Siac hanterar endast strategisk analys.

EU:s gemensamma enhet för hybridhot: Det gemensamma meddelandet om motverkande av hybridhot från april 2016 utser EU:s gemensamma enhet för hybridhot (EU HFC) som kontaktpunkt för all källanalys avseende hybridhot i EU: uppdraget godkändes i december 2016 av kommissionen genom en internremiss. Enheten för hybridhot är baserad i Intcen och är en del av Siac, vilket innebär att den arbetar tillsammans med EUMS INT och har en permanent militär ledamot som tjänstgör vid den. Ordet hybrid syftar på att en statlig eller icke-statlig aktör avsiktligt använder en kombination av flera olika dolda/öppna, militära/civila verktyg och redskap, som cyberattacker, desinformationskampanjer, spionage, ekonomiska påtryckningar, utnyttjande av inofficiella styrkor eller annan statsfientlig verksamhet. EU HFC arbetar med ett omfattande nätverk av kontaktpunkter, både inom kommissionen och i medlemsstaterna, för att tillhandahålla det integrerade svar/myndighetsövergripande tillvägagångssätt som krävs för att bemöta olika utmaningar.

EU SitRoom: EU:s lägescentral (EU SitRoom) är en del av EU:s underrättelseanalyscentrum (EU Intcen) och förser EEAS med den operativa kapacitet som krävs för att garantera omedelbar och effektiv krishantering. Lägescentralen är ett permanent civil-militärt standby-organ som tillhandahåller världsomspännande övervakning och situationsmedvetenhet dygnet runt.

Relevanta instrument

Ram för en gemensam diplomatisk respons från EU mot fientlig internetverksamhet: Ramen, som antogs i juni 2017, är en del av EU:s strategi för cyberdiplomati, och bidrar till att förebygga konflikter, begränsa hot mot cybersäkerheten samt till att öka stabiliteten i internationella relationer. Ramen utnyttjar den gemensamma utrikes- och säkerhetspolitikens åtgärder fullt ut och vid behov även restriktiva åtgärder. Ett utnyttjande av åtgärderna inom ramen skulle uppmuntra samarbete, underlätta begränsning av omedelbara och långsiktiga hot och påverka beteendet hos den ansvariga förövaren och potentiella våldsutövare på lång sikt.

2.   CYBERSÄKERHET OCH KRISSAMORDNING INOM IPCR-ARRANGEMANGET – ÖVERGRIPANDE SAMORDNING OCH POLITISK UPPTRAPPNING

IPCR-arrangemanget kan användas (och har använts) för att hantera tekniska och operativa frågor, men alltid ur ett politiskt/strategiskt perspektiv.

I fråga om upptrappning kan IPCR användas beroende på krisnivå genom att gå från ”övervakningsläge” till ”informationsutbytesläge”, vilket är den första nivån av IPCR-aktivering, och därifrån till ”full IPCR-aktivering”.

Beslutet om full aktivering fattas av Europeiska unionens råds roterande ordförandeskap. Kommissionen, EEAS och rådets generalsekretariat kan aktivera IPCR i informationsutbytesläge. Övervakning respektive informationsutbyte ger upphov till olika nivåer av informationsutbyte; informationsutbyte aktiverar en begäran om utarbetade av ISAA-rapporter. Vid full aktivering tillkommer rundabordssamtal inom IPCR, där ordförandeskapet deltar (vanligtvis ordföranden för Coreper II, eller en sakkunnig från ständiga representationens rådgivargrupp, men rundabordssamtal har undantagsvis hållits på ministernivå).

Aktörer:

Det roterande ordförandeskapet (vanligen ordföranden för Coreper) har huvudansvaret.

För Europeiska rådet, ordförandens kansli.

För Europeiska kommissionen, ställföreträdande generalsekreterare/generaldirektoratsnivå och/eller sakkunniga experter.

För EEAS, ställföreträdande generalsekreterare/verkställande direktör och/eller sakkunniga experter.

För rådets generalsekretariat, generalsekreterarens kansli, IPCR-teamet och de ansvariga generaldirektoraten.

Typ av aktiviteter: Skapa en gemensam integrerad bild av situationen och trappa upp medvetenheten om flaskhalsar eller brister på alla tre nivåer i syfte att åtgärda dem på politisk nivå, fatta beslut kring bordet om dessa faller inom deltagarnas behörighet, eller ta fram förslag till insatser som sedan går vidare till Coreper II och upp till rådet.

Gemensam situationsmedvetenhet:

(Icke aktiv): IPCR-övervakningssidor kan skapas för att följa utvecklingen i situationer som kan komma att trappas upp till en kris med återverkningar för EU.

(IPCR – informationsutbyte): ISAA-rapporter kommer att utarbetas av ISAA-ledningen på grundval av uppgifter från kommissionen, EEAS och medlemsstaterna (via IPCR-frågeformulär).

(IPCR – full aktivering): Som ett komplement till ISAA-rapporterna sammanför rundabordssamtalen inom IPCR olika berörda aktörer i medlemsstaterna, inom kommissionen, EEAS, relevanta byråer m.fl. för diskussion om brister och flaskhalsar.

Samarbete och insatser:

Aktivera/synkronisera ytterligare krishanteringsmekanismer och krishanteringsinstrument beroende på typ av incident och dess effekter. Dessa kan till exempel omfatta civilskyddsmekanismen, ramen för en gemensam diplomatisk respons från EU mot fientlig internetverksamhet eller den gemensamma ramen för att motverka hybridhot.

Kriskommunikation:

IPCR:s nätverk för kriskommunikation kan aktiveras av ordförandeskapet, efter samråd med berörda avdelningar inom kommissionen, rådets generalsekretariat och EEAS, som stöd för att ta fram gemensamma meddelanden eller för att bygga vidare på de mest effektiva kommunikationsverktygen.

3.   CYBERSÄKERHET OCH KRISHANTERING I ARGUS – INFORMATIONSUTBYTE MED EUROPEISKA KOMMISSIONEN

Efter de oväntade kriser som krävde åtgärder på europeisk nivå, t.ex. terroristattackerna i Madrid (mars 2004), tsunamin i Sydostasien (december 2004) och terroristattackerna i London (juli 2005) inrättade kommissionen samordningssystemet Argus 2005, som stöds av ett allmänt förvarningssystem med samma namn (5)  (6). Systemet ska tillhandahålla en specifik krishanteringsprocess om det inträffar en omfattande kris som berör flera sektorer och möjliggöra utbyte av krisrelaterad information i realtid och säkerställa snabbt beslutsfattande.

Argus omfattar två faser som är beroende av hur allvarlig händelsen är:

Fas I: används för informationsutbyte i samband med en kris av begränsad omfattning. Exempel på nyligen inträffade händelser som rapporterats inom Fas I är skogsbränderna i Portugal och Israel, Berlinattacken 2016, översvämningar i Albanien, orkanen Matthew i Haiti och torkan i Bolivia. Alla generaldirektorat kan öppna en Fas I-händelse när de anser att en situation inom deras behörighetsområde är tillräckligt allvarlig för att föranleda informationsutbyte. GD CNECT och GD HOME kan till exempel öppna en Fas I-händelse när de bedömer att en cybersituation inom deras respektive behörighetsområden är tillräckligt allvarlig för att föranleda eller gynnas av informationsutbyte.

Fas II: sätts igång vid en omfattande kris som berör flera sektorer eller vid ett förutsebart eller överhängande hot för unionen. Med Fas II följer en särskild samordningsprocess som gör det möjligt för kommissionen att fatta beslut och organisera en snabb, samordnad och samstämmig insats på högsta nivå inom sitt befogenhetsområde och i samarbete med andra institutioner. Fas II är avsedd för en omfattande kris som berör flera sektorer eller vid ett förutsebart eller överhängande hot om en sådan kris. Exempel på verkliga Fas II-händelser är migrations-/flyktingkrisen (2015– pågår fortfarande), trippelkatastrofen i Fukushima (2011) och vulkanen Eyjafjallajökulls utbrott på Island (2010). Fas II aktiveras av kommissionens ordförande, på dennes initiativ eller på begäran av en kommissionsledamot. Ordföranden kan tilldela det politiska ansvaret för kommissionens insatser till den kommissionsledamot som har ansvar för den avdelning som är mest berörd av den föreliggande krisen eller besluta att själv behålla ansvaret. Fas II föreskriver krismöten i krissamordningskommittén (CCC). Mötena sammankallas under ledning av kommissionens ordförande eller den kommissionsledamot som tilldelats ansvaret. Generalsekretariatet kallar till dessa möten genom Argus it-verktyg. Krissamordningskommittén är en särskild operativ krishanteringsstruktur som inrättats för att leda och samordna kommissionens insatser med anledning av en kris och sammanföra företrädare för kommissionens relevanta generaldirektorat, kanslier och andra EU-avdelningar. Under ledning av den ställföreträdande generalsekreteraren ska krissamordningskommittén bedöma situationen, överväga olika möjligheter, fatta beslut och säkerställa att beslut och åtgärder genomförs och samtidigt säkerställa att insatserna är samstämmiga och konsekventa. Krissamordningskommittén får stöd av generalsekretariatet.

4.   EEAS KRISHANTERINGSMEKANISM

EEAS krishanteringsmekanism aktiveras när det uppstår en allvarlig situation eller en nödsituation som berör eller på något sätt involverar EU:s externa dimension. Krishanteringsmekanismen aktiveras av den ställföreträdande generalsekreteraren för krishantering efter samråd med den höga representanten/vice ordföranden eller generalsekreteraren. Den ställföreträdande generalsekreteraren för krishantering kan även uppmanas att inleda krishanteringsmekanismen av den höga representanten/vice ordföranden, eller generalsekreteraren, eller en annan ställföreträdande generalsekreterare eller verkställande direktör.

Krishanteringsmekanismen bidrar till att EU:s krisinsatser inom säkerhetsstrategin blir samstämmiga. Krishanteringsmekanismen främjar också synergieffekter mellan diplomatiska insatser, säkerhets- och försvarsinsatser och de finansiella instrument, handels- och samarbetsinstrument som förvaltas av kommissionen.

Krishanteringsmekanismen är kopplad till kommissionens allmänna krishanteringssystem (Argus) och EU-arrangemang för integrerad politisk krishantering (IPCR) så att man kan dra nytta av synergieffekter vid samtidig aktivering. Lägescentralen inom EEAS fungerar som en sambandscentral mellan EEAS och krishanteringssystemen inom rådet och kommissionen.

Den första åtgärd som normalt gäller i samband med användningen av krishanteringsmekanismen är att sammankalla till ett krismöte mellan de chefer inom EEAS, kommissionen och rådet som är direkt berörda av den aktuella krisen. Krismötet gör en bedömning av krisens kortsiktiga effekter och kan besluta att vidta omedelbara åtgärder, eller aktivera krisenheten, eller sammankalla en krisplattform. Dessa tillvägagångssätt kan tillämpas i alla tidssekvenser.

Krisenheten är ett insatsrum i liten skala där företrädare för de avdelningar inom EEAS, kommissionen och rådet som är ansvariga för krisinsatserna samlas för att fortlöpande övervaka situationen och ge stöd till beslutsfattare vid utrikestjänstens huvudkontor. När den aktiverats är krisenheten i drift dygnet runt alla veckodagar.

Krisplattformen samlar relevanta avdelningar inom EEAS, kommissionen och rådet för att bedöma krisernas effekter på medellång och lång sikt och besluta om vilka åtgärder som ska vidtas. Den leds av den höga representanten/vice ordföranden, eller generalsekreteraren eller den ställföreträdande generalsekreteraren för krishantering. Krisplattformen utvärderar hur effektiva EU-insatserna är i krislandet eller krisregionen, beslutar om ändringar av kompletterande åtgärder samt diskuterar förslag till rådets åtgärder. Krisplattformen är ett särskilt inkallat möte och är därför inte aktiverat på ständig basis.

Specialgruppen är sammansatt av företrädare för de avdelningar som är ansvariga för insatserna och kan aktiveras för att följa och underlätta genomförandet av EU:s insatser. Den utvärderar resultaten av EU:s åtgärder, utarbetar policydokument och policyalternativ, bidrar till utarbetandet av den politiska ramen för krisåtgärder (PFCA), bidrar till kommunikationsstrategin och beslutar om andra arrangemang som kan underlätta genomförandet av EU:s insatser.

5.   REFERENSDOKUMENT

Nedan följer en förteckning över dokument som har beaktats vid utarbetandet av planen:

—	The European Cyber Crises Cooperation Framework, version 1, den 17 oktober 2012.

—	Report on Cyber Crisis Cooperation and Management, Enisa, 2014.

—	Actionable Information for Security Incident Response, Enisa, 2014.

—	Common practices of EU-level crisis management and applicability to cyber crises, Enisa, 2015.

—	Strategies for Incident Response and Cyber Crisis Cooperation, Enisa, 2016.

—	EU Cyber Standard Operating Procedures, Enisa, 2016.

—	A good practice guide of using taxonomies in incident prevention and detection, Enisa, 2017.

—	Meddelande från kommissionen: Stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch, COM(2016) 410 final, den 5 juli 2016.

—	Rådets slutsatser om att stärka Europas system för cyberresiliens och främja en konkurrenskraftig och innovativ cybersäkerhetsbransch – rådets slutsatser (15 november 2016) 14540/16.

—	Rådets beslut 2014/415/EU av den 24 juni 2014 om närmare bestämmelser för unionens genomförande av solidaritetsklausulen (EUT L 192, 1.7.2014, s. 53).

—	Slutförande av processen för översyn av EU:s arrangemang för samordning vid katastrofer och kriser: EU:s integrerade arrangemang för politisk krishantering (IPCR), 10708/13, den 7 juni 2013.

—	Integrerad situationsmedvetenhet och -analys (ISAA) – Operationella standardförfaranden, DS 1570/15, den 22 oktober 2015.

—	Kommissionens bestämmelser gällande inrättandet av det allmänna förvarningssystemet ”ARGUS”, KOM(2005) 662 slutlig, den 23 december 2005.

—	Kommissionens beslut 2006/25/EG, Euratom av den 23 december 2005 om ändring av den interna arbetsordningen (EUT L 19, 24.1.2006, s. 20).

—	ARGUS Modus Operandi, Europeiska kommissionen, den 23 oktober 2013.

—	Rådets slutsatser om en ram för en gemensam diplomatisk respons från EU mot fientlig internetverksamhet (verktygslåda för cyberdiplomati), dok. 9916/17.

—	EU:s operativa protokoll för att motverka hybridhot (EU Playbook), dok. SWD(2016) 227.

—	EEAS krishanteringsmekanism, den 8 november 2016 [Ares(2017)880661]. Gemensamt arbetsdokument från avdelningarna: EU:s operativa protokoll för att motverka hybridhot, ”EU Playbook”, SWD(2016) 227 final, den 5 juli 2016.

—	Gemensamt meddelande till Europaparlamentet och rådet: Gemensam ram för att motverka hybridhot – Europeiska unionens insatser, JOIN(2016) 18 final, den 6 april 2016.

—	EEAS(2016) 1674 – Arbetsdokument från Europeiska utrikestjänsten – EU:s enhet för hybridhot – Mandat.

6.   INSLAG I IPCR-PROCESSEN MED SÄRSKILD INRIKTNING PÅ CYBERSÄKERHET

---

(1)  Dok. 10708/13 om Slutförande av processen för översyn av EU:s arrangemang för samordning vid katastrofer och kriser: EU:s integrerade arrangemang för politisk krishantering (IPCR), som godkändes av rådet den 24 juni 2013.

(2)  Dok. 12607/15 om IPCR:s operationella standardförfaranden godkänt av gruppen Ordförandeskapets vänner och noterat av Coreper i oktober 2015.

(3)  Kommissionens bestämmelser gällande inrättandet av det allmänna förvarningssystemet ”ARGUS”, KOM(2005) 662 slutlig, 23.12.2005.

(4)  Kommissionens beslut 2006/25/EG, Euratom av den 23 december 2005 om ändring av den interna arbetsordningen (EUT L 19, 24.1.2006, s. 20) gällande inrättandet av det allmänna förvarningssystemet Argus.

(5)  Europeiska gemenskapernas kommission, den 23 december 2005: Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén – Kommissionens bestämmelser gällande inrättandet av det allmänna förvarningssystemet ”ARGUS”, KOM(2005) 662 slutlig.

(6)  Beslut 2006/25/EG, Euratom.