Subscribe
Objektivna praznina u vještinama koju treba popuniti
Posljednjih godina kibernetička sigurnost postala je jedna od glavnih briga Europske unije. Rastuća složenost kibernetičkih prijetnji i ranjivost kritičnih infrastruktura zahtijevaju još veću predanost kako bi se osigurala digitalna otpornost kontinenta. Međutim, jedna od glavnih prepreka koje treba prevladati jest jaz u vještinama u sektoru kibernetičke sigurnosti, što ograničava sposobnost država članica da učinkovito odgovore na kibernetičke prijetnje.
EU je donio nekoliko zakonodavnih mjera za jačanje kibernetičke sigurnosti svojih kritičnih infrastruktura. Među najrelevantnijim propisima nalazimo:
Uredba (EU) 2019/881 – Zakon o kibernetičkoj sigurnosti: uvodi certifikacijski okvir za ICT proizvode, usluge i procese, jačajući ulogu Europske agencije za kibernetičku sigurnost (ENISA).
Uredba (EU) 2022/2554 – DORA: regulira operativnu otpornost digitalnih infrastruktura u financijskom sektoru.
Direktiva (EU) 2022/2555 – NIS2 Direktiva: proširuje i jača mjere kibernetičke sigurnosti uvedene prvom NIS Direktivom.
Direktiva (EU) 2022/2557 – CER Direktiva: utvrđuje zahtjeve otpornosti za kritične sektore koji su ključni za gospodarstvo i društvo.
Uredba (EU) 2024/2847 – Cyber Resilience Act: uvodi strože standarde za sigurnost uređaja i softvera povezanih s tržištem EU.
Ovi propisi predstavljaju veliki korak naprijed u zaštiti kritične infrastrukture, ali njihova učinkovitost uvelike ovisi o dostupnosti kvalificiranih stručnjaka sposobnih za njihovu implementaciju i upravljanje. Unatoč važnosti kibernetičke sigurnosti, sektor pati od značajnog nedostatka specijaliziranih stručnjaka. Prema Agenciji Europske unije za kibernetičku sigurnost (ENISA), nedostatak vještina jedan je od glavnih novih izazova i, ako se ne riješi na odgovarajući način, mogao bi postati druga najkritičnija prijetnja kibernetičkoj sigurnosti do 2030. godine.
Ovaj nedostatak posebno utječe na upravljanje sigurnošću kritičnih infrastruktura, što zahtijeva napredne vještine u IT-u, operativnoj tehnologiji (OT) i industrijskim sustavima kontrole (ICS). Osim toga, stručnjaci za kibernetičku sigurnost trebaju temeljito poznavati europske propise, koji uključuju posebne zahtjeve za usklađenost s propisima i upravljanje rizikom. Izazov je dodatno složen činjenicom da mnoga mala i srednja poduzeća (MSP), koja čine okosnicu europskog gospodarstva, nemaju resurse za odgovarajuću obuku svog osoblja u kibersigurnosti. To ih čini posebno ranjivima na kibernetičke napade.
Kako bi riješio ovaj problem, EU treba ulagati u multidisciplinarne programe osposobljavanja koji kombiniraju tehničke, strateške i pravne vještine. Kibernetička sigurnost više nije samo tehnološko pitanje, već se odnosi i na regulatorne, ekonomske i strateške aspekte. Na primjer, stručnjak za kibernetičku sigurnost mora biti u stanju procijeniti ne samo tehničke rizike kibernetičkog napada, već i pravne implikacije i ekonomske posljedice za pogođenu tvrtku ili subjekt. U nekim slučajevima neposredna primjena standardnih sigurnosnih protokola može imati negativne posljedice. Na primjer, onemogućavanje kompromitirane telekomunikacijske mreže da spriječi napad zlonamjernog softvera moglo bi spriječiti hitnu komunikaciju s nadležnim tijelima. Slično tome, prekid rada zdravstvenog sustava koji je napadnut mogao bi dovesti živote pacijenata u opasnost.
Iz tog razloga obuka mora uključivati realne krizne scenarije u kojima profesionalci mogu naučiti kako uravnotežiti kibernetičku zaštitu s kontinuitetom poslovanja i nacionalnim interesom. Kako bi odgovorio na ovaj izazov, EU je promovirao nekoliko inicijativa za poticanje obuke stručnjaka za kibersigurnost. To uključuje:
Programi koje financira EU
Europski parlament pozvao je na stvaranje pristupačnih programa obuke, financiranih iz europskih fondova, za razvoj vještina u novonastalim područjima kibernetičke sigurnosti.
Cyberhubovi
Inicijativa koju financira EU i čiji je cilj poboljšati ekosustav profesionalnih vještina u sektoru kibernetičke sigurnosti kroz partnerstva između sveučilišta, poduzeća i institucija.
Javno-privatna suradnja
Europska komisija potaknula je stvaranje inovacijskih središta koja mogu poticati suradnju između tvrtki i istraživačkih institucija za razvoj novih vještina.
Pokretanje Europske akademije vještina kibernetičke sigurnosti
Inicijativa za pružanje kontinuirane i specijalizirane obuke za profesionalce u sektoru, poboljšavajući pristup naprednim stazama učenja.
Kibernetička sigurnost kritičnih infrastruktura prioritet je Europske unije, no kako bi se osigurala učinkovita zaštita potrebno je ulagati u visokokvalificiranu radnu snagu. Nedostatak vještina jedna je od glavnih ranjivosti EU-a u kontekstu kibernetičke sigurnosti i hitno se mora riješiti kroz ciljane i multidisciplinarne programe obuke. Europa je već poduzela značajne mjere za jačanje svoje digitalne otpornosti, ali bez odgovarajuće obučenih stručnjaka, učinkovitost tih politika ostaje ograničena. Ulaganje u obuku stručnjaka za kibernetičku sigurnost nije samo trenutna potreba, već i ključni element za osiguranje konkurentnosti i sigurnosti kontinenta dugoročno.
Alessandro Fiorentino