Subscribe
Obiektywna luka w umiejętnościach do wypełnienia
W ostatnich latach cyberbezpieczeństwo stało się jedną z głównych trosk Unii Europejskiej. Rosnąca złożoność zagrożeń cybernetycznych i wrażliwość infrastruktury krytycznej wymagają coraz większego zaangażowania w zapewnienie cyfrowej odporności kontynentu. Jedną z głównych przeszkód do pokonania jest jednak luka kompetencyjna w sektorze cyberbezpieczeństwa, która ogranicza zdolność państw członkowskich do skutecznego reagowania na cyberzagrożenia.
UE przyjęła szereg środków legislacyjnych w celu wzmocnienia cyberbezpieczeństwa swojej infrastruktury krytycznej. Wśród najistotniejszych regulacji znajdują się:
Rozporządzenie (UE) 2019/881 – Akt o cyberbezpieczeństwie: wprowadza ramy certyfikacji produktów, usług i procesów ICT, wzmacniając rolę Europejskiej Agencji ds. Cyberbezpieczeństwa (ENISA).
Rozporządzenie (UE) 2022/2554 – DORA: reguluje odporność operacyjną infrastruktury cyfrowej w sektorze finansowym.
Dyrektywa (UE) 2022/2555 – dyrektywa NIS2: rozszerza i wzmacnia środki cyberbezpieczeństwa wprowadzone pierwszą dyrektywą NIS.
Dyrektywa (UE) 2022/2557 – dyrektywa CER: ustanawia wymogi w zakresie odporności dla sektorów krytycznych, które mają zasadnicze znaczenie dla gospodarki i społeczeństwa.
Rozporządzenie (UE) 2024/2847 – ustawa o cyberodporności: wprowadza bardziej rygorystyczne normy dotyczące bezpieczeństwa urządzeń i oprogramowania podłączonego do rynku UE.
Przepisy te stanowią duży krok naprzód w zakresie ochrony infrastruktury krytycznej, ale ich skuteczność w dużej mierze zależy od dostępności wykwalifikowanych specjalistów zdolnych do ich wdrożenia i zarządzania nimi. Pomimo znaczenia cyberbezpieczeństwa, sektor ten cierpi na znaczny niedobór wyspecjalizowanych specjalistów. Według Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), luka w umiejętnościach jest jednym z głównych wyzwań i, jeśli nie zostanie odpowiednio rozwiązana, może stać się drugim najbardziej krytycznym zagrożeniem dla cyberbezpieczeństwa do 2030 roku.
Niedobór ten dotyczy w szczególności zarządzania bezpieczeństwem infrastruktury krytycznej, co wymaga zaawansowanych umiejętności w zakresie IT, technologii operacyjnych (OT) i przemysłowych systemów sterowania (ICS). Ponadto, specjaliści ds. cyberbezpieczeństwa muszą posiadać dogłębną wiedzę na temat europejskich przepisów, które obejmują określone wymogi dotyczące zgodności z przepisami i zarządzania ryzykiem. Wyzwanie to jest dodatkowo potęgowane przez fakt, że wiele małych i średnich przedsiębiorstw (MŚP), które stanowią trzon europejskiej gospodarki, nie ma zasobów, aby odpowiednio przeszkolić swoich pracowników w zakresie cyberbezpieczeństwa. To czyni je szczególnie podatnymi na cyberataki.
Aby rozwiązać tę kwestię, UE musi inwestować w multidyscyplinarne programy szkoleniowe, które łączą umiejętności techniczne, strategiczne i prawne. Cyberbezpieczeństwo nie jest już tylko kwestią technologiczną, ale dotyczy również aspektów regulacyjnych, ekonomicznych i strategicznych. Na przykład specjalista ds. cyberbezpieczeństwa musi być w stanie ocenić nie tylko ryzyko techniczne cyberataku, ale także konsekwencje prawne i ekonomiczne dla dotkniętej nim firmy lub podmiotu. W niektórych przypadkach natychmiastowe zastosowanie standardowych protokołów bezpieczeństwa może mieć negatywne konsekwencje. Na przykład, wyłączenie zagrożonej sieci telekomunikacyjnej w celu powstrzymania ataku złośliwego oprogramowania może utrudnić komunikację z władzami w sytuacjach awaryjnych. Podobnie, przerwanie działania zaatakowanego systemu opieki zdrowotnej może narazić życie pacjentów.
Z tego powodu szkolenia muszą obejmować realistyczne scenariusze kryzysowe, w których specjaliści mogą nauczyć się, jak zrównoważyć ochronę cybernetyczną z ciągłością biznesową i interesem narodowym. Aby sprostać temu wyzwaniu, UE promowała kilka inicjatyw mających na celu zachęcenie do szkolenia ekspertów ds. cyberbezpieczeństwa. Obejmują one:
Programy finansowane przez UE
Parlament Europejski wezwał do stworzenia dostępnych programów szkoleniowych, finansowanych z funduszy europejskich, w celu rozwijania umiejętności w nowych obszarach cyberbezpieczeństwa.
Cyberhuby
Finansowana przez UE inicjatywa, której celem jest poprawa ekosystemu umiejętności zawodowych w sektorze cyberbezpieczeństwa poprzez partnerstwa między uniwersytetami, przedsiębiorstwami i instytucjami.
Współpraca publiczno-prywatna
Komisja Europejska zachęca do tworzenia centrów innowacji, które mogą wspierać współpracę między firmami i instytucjami badawczymi w celu rozwijania nowych umiejętności.
Uruchomienie Europejskiej Akademii Umiejętności Cyberbezpieczeństwa
Inicjatywa mająca na celu zapewnienie ciągłych i specjalistycznych szkoleń dla profesjonalistów w sektorze, poprawiająca dostęp do zaawansowanych ścieżek kształcenia.
Cyberbezpieczeństwo infrastruktury krytycznej jest priorytetem dla Unii Europejskiej, ale aby zapewnić skuteczną ochronę, konieczne jest inwestowanie w wysoko wykwalifikowaną siłę roboczą. Niedobory umiejętności są jedną z głównych słabości UE w kontekście cyberbezpieczeństwa i muszą zostać pilnie rozwiązane poprzez ukierunkowane i multidyscyplinarne programy szkoleniowe. Europa podjęła już znaczące środki w celu wzmocnienia swojej odporności cyfrowej, ale bez odpowiednio wyszkolonych specjalistów skuteczność tych polityk pozostaje ograniczona. Inwestowanie w szkolenia ekspertów ds. cyberbezpieczeństwa jest nie tylko bieżącą koniecznością, ale także kluczowym elementem zapewnienia konkurencyjności i bezpieczeństwa kontynentu w perspektywie długoterminowej.
Alessandro Fiorentino