Приложение. Концепция по скоординированному реагированию на широкомасштабные трансграничные инциденты и кризисы в сфере кибербезопасности. Рекомендация Европейской Комиссии 2017/1584 от 13.09.2017 о скоординированном реагировании на широкомасштабные инциденты и кризисы в сфере кибербезопасности

ПРИЛОЖЕНИЕ

Концепция по скоординированному реагированию на широкомасштабные трансграничные инциденты и кризисы в сфере кибербезопасности

Введение

Настоящая Концепция применяется к инцидентам в сфере кибербезопасности, вызывающим слишком обширные нарушения, чтобы с ними могло бороться заинтересованное государство-член ЕС самостоятельно, а также нарушения, которые затрагивают два и более государства-члена ЕС или учреждения ЕС, которые настолько широко распространены и имеют такое существенное техническое или политическое влияние, что они требуют своевременной политической координации и реагирования на политическом уровне Союза.

Указанные широкомасштабные инциденты в сфере кибербезопасности считаются "кризисами" в сфере кибербезопасности.

В случае кризисов, которые затрагивают весь ЕС и имеют кибернетические элементы, координация реагирования на политическом уровне Союза осуществляется Советом ЕС с использованием механизмов Комплексного политического реагирования на кризисы (IPCR).

В рамках Европейской Комиссии координация осуществляется в соответствии с системой быстрого оповещения ARGUS.

Если кризис будет оказывать существенное внешнее действие или действие на Общую политику безопасности и обороны (CSDP), будет применяться Механизм кризисного реагирования EEAS.

В Концепции описывается, как указанные устоявшиеся Механизмы управления кризисами должны в полной мере использовать существующие органы в области кибербезопасности на уровне Союза, а также механизм сотрудничества государств-членов ЕС.

При этом в Концепции учтен ряд руководящих принципов (пропорциональность, субсидиарность, взаимодополняемость и конфиденциальность информации), представлены основные цели сотрудничества (эффективное реагирование, совместная ситуационная осведомленность, публичные сообщения) на трех уровнях (стратегическом/политическом, оперативном и техническом), механизмы и задействованные субъекты, а также мероприятия, направленные на достижение основных целей.

Концепция не охватывает весь цикл антикризисного управления (предотвращение/смягчение последствий, подготовка, реагирование, восстановление). Тем не менее определенная деятельность, в частности, связанная с достижением совместной ситуационной осведомленности, рассматривается в ней.

Также важно отметить, что инциденты в сфере кибербезопасности могут представлять собой основу или часть более широкомасштабных кризисов, затрагивающих и другие отрасли. Учитывая, что большинство кризисов в сфере кибербезопасности могут оказать влияние на реальную жизнь, соответствующее реагирование должно охватывать действия внутри и за пределами киберпространства. Деятельность по реагированию на кризисы в рамках киберпространства должна быть скоординирована с другими механизмами по управлению кризисами на уровне ЕС, национальном и отраслевом уровнях.

Наконец, Концепция не заменяет и не затрагивает существующие отраслевые или политические механизмы, договоренности и инструменты, такие как установленные в рамках программы Глобальной навигационной спутниковой системы (GNSS)*(33).

Руководящие принципы

При работе по достижению целей, при определении необходимых действий и при распределении ролей и обязанностей между соответствующими задействованными участниками и механизмами были применены следующие руководящие принципы, которые также необходимо соблюдать при подготовке будущих имплементационных руководящих принципов.

Пропорциональность. Большинство инцидентов в сфере кибербезопасности, затрагивающих государства-члены ЕС, далеки от понятия национального "кризиса", еще меньше - понятия европейского "кризиса". Основа для сотрудничества государств-членов ЕС при реагировании на указанные инциденты заложена в Сети Групп реагирования на инциденты, связанные с компьютерной безопасностью (CSIRTs), установленной Директивой NIS*(34). Национальные CSIRTs сотрудничают и обмениваются информацией на добровольной ежедневной основе, в том числе при необходимости при реагировании на инциденты в сфере кибербезопасности, затрагивающие одно или несколько государств-членов ЕС в рамках Стандартных рабочих процедур Сети CSIRTs (SOPs). Следовательно, в Концепции должны быть использованы указанные SOPs, а дополнительные специфические задачи в области кризисов в сфере кибербезопасности должны быть в них отражены.

Субсидиарность. Принцип субсидиарности является ключевым. Государства-члены ЕС несут основную ответственность за реагирование на широкомасштабные инциденты в сфере кибербезопасности или на затрагивающие их кризисы. Тем не менее Европейская Комиссия, Европейская служба внешних связей и другие учреждения, офисы, агентства и органы ЕС играют важную роль. Указанная роль четко определена в механизмах IPCR, а также вытекает из законодательства Союза и самого факта того, что инциденты и кризисы в сфере кибербезопасности могут оказать влияние на все секторы экономической деятельности в рамках единого рынка, на безопасность и международные отношения Союза, а также на сами учреждения.

Взаимодополняемость. Концепция полностью учитывает существующие на уровне ЕС механизмы управления кризисами, а именно механизмы Комплексного политического реагирования на кризисы (IPCR), Механизм кризисного реагирования ARGUS и EEAS, включает в них новые структуры и механизмы, предусмотренные Директивой NIS, а именно Сеть CSIRTs, а также соответствующие агентства и органы, а именно Европейское агентство по сетевой и информационной безопасности (ENISA), Европейский центр борьбы с киберпреступностью в Европоле (Европол/ЕС3), Центр анализа разведывательной информации ЕС (INTCEN), Разведывательное управление военного штаба ЕС (EUMS INT) и Ситуационный центр (Sitroom) в INTCEN, работающие совместно как Единый центр анализа разведывательных данных (SIAC), Объединенная гибридная ячейка ЕС (основанная в рамках INTCEN), Группа быстрого реагирования на нарушения компьютерной безопасности учреждений ЕС (СERT-EU). При этом Концепция также должна гарантировать, что при их сотрудничестве и взаимодействии достигается максимальная взаимодополняемость и происходит минимальное дублирование действий.

Конфиденциальность информации. Весь обмен информацией в рамках Концепции должен соответствовать применимым правилам безопасности*(35), защиты персональных данных и Протоколу Traffic Light*(36). В случае обмена конфиденциальной информацией, независимо от применяемой схемы классификации, должны использоваться доступные аккредитованные инструменты*(37). В отношении обработки персональных данных - соблюдаются применимые нормы ЕС, в частности, Общий Регламент о защите персональных данных*(38), Директива о конфиденциальности в электронных средствах связи*(39), а также Регламент*(40) о защите физических лиц при обработке персональных данных, осуществляемой учреждениями, органами, офисами и агентствами Союза, и о свободном обращении таких данных.

Основные цели

Сотрудничество в рамках Концепции подпадает под вышеуказанный трехуровневый подход - политический, оперативный и технический. На каждом уровне сотрудничество может включать обмен информацией, а также совместные действия, оно направлено на достижение следующих основных целей.

- Обеспечение эффективного реагирования. Реагирование может принимать различные формы - от определения технических мер, которые могут позволить двум или более предприятиям проводить совместное расследование технических причин происхождения инцидента (например, анализ хакерских программ) или выявлять способы определения воздействия на организации (например, показатели взлома), до принятия оперативных решений о применении указанных технических мер, а также принятие решений на политическом уровне об использовании других инструментов, таких как Механизм дипломатического реагирования ЕС на вредоносную кибердеятельность (Инструмент кибердипломатии) или Оперативный протокол ЕС по борьбе с гибридными угрозами в зависимости от инцидента.

- Совместная ситуационная осведомленность. Достаточно хорошее понимание хода развития событий всеми соответствующими заинтересованными сторонами на всех трех уровнях (техническом, оперативном, политическом) имеет большое значение для скоординированного реагирования. Ситуационная осведомленность может включать технологические элементы, связанные с причинами, влиянием и источником инцидента. Поскольку инциденты в сфере кибербезопасности могут влиять на широкий спектр отраслей (финансы, энергетика, транспорт, здравоохранение и т.д.), крайне важно, чтобы соответствующая информация в надлежащем формате была своевременно получена всеми заинтересованными сторонами.

- Согласие на ключевые публичные сообщения*(41). Кризисная коммуникация играет важную роль в смягчении негативных последствий инцидентов и кризисов в сфере кибербезопасности, а также может быть использована для оказания влияния на поведение (потенциальных) агрессоров. Согласованные публичные сообщения, осуществляемые в целях смягчения негативных последствий инцидентов и кризисов в сфере кибербезопасности, и публичные сообщения, осуществляемые в целях воздействия на агрессоров, играют важную роль в эффективном политическом реагировании. Особенно важным в кибербезопасности является распространение точной практической информации о том, как общественность может смягчить последствия инцидента (например, путем обновления программного обеспечения или принятия дополнительных мер, направленных на избежание угроз, и т.д.).

СОТРУДНИЧЕСТВО МЕЖДУ ГОСУДАРСТВАМИ-ЧЛЕНАМИ ЕС, А ТАКЖЕ МЕЖДУ ГОСУДАРСТВАМИ-ЧЛЕНАМИ ЕС И ЗАДЕЙСТВОВАННЫМИ СУБЪЕКТАМИ В ЕС НА ТЕХНИЧЕСКОМ, ОПЕРАТИВНОМ И СТРАТЕГИЧЕСКОМ/ПОЛИТИЧЕСКОМ УРОВНЯХ

Эффективное реагирование на широкомасштабные инциденты и кризисы в сфере кибербезопасности на уровне ЕС зависит от эффективного технического, оперативного, и стратегического/политического сотрудничества.

На каждом уровне задействованные субъекты должны осуществлять определенные действия для достижения трех основных целей:

- скоординированное реагирование;

- совместная ситуационная осведомленность;

- публичные сообщения.

При инцидентах и кризисах более низкие уровни сотрудничества предупреждают, информируют и поддерживают более высокие; более высокие уровни будут при необходимости предоставлять руководства*(42) и решения более низким уровням.

Сотрудничество на техническом уровне

Сфера деятельности:

- Управление инцидентами*(43) в ходе кризисов в сфере кибербезопасности.

- Мониторинг и надзор за инцидентом, в том числе постоянный анализ угроз и рисков.

Потенциальные задействованные субъекты

- На техническом уровне центральным механизмом сотрудничества в Концепции является Сеть CSIRTs, возглавляемая Председателем, с секретариатом, предоставленным ENISA.

- Государства-члены ЕС:

- Компетентные органы и единые контактные пункты, учрежденные в соответствии с Директивой NIS;

- CSIRTs;

- Органы/офисы/агентства ЕС:

- ENISA;

- Европол/ЕС3;

- CERT-EU;

- Европейская Комиссия:

- ERCC*(44) (оперативная служба с графиком работы 24/7, расположенная в DG ECHO) и назначенный головной офис (выбранный между DG CNECT и DG HOME в зависимости от характера конкретного инцидента), Генеральный секретариат (секретариат ARGUS), DG HR (Директорат по безопасности), DG DIGIT (управление по информационной безопасности);

- Для других агентств ЕС*(45) соответствующий генеральный директорат в Европейской Комиссии или EEAS (первый контактный пункт).

- EEAS:

- SIAC (Единый центр анализа разведывательных данных: EU INTCEN и EUMS INT);

- Ситуационный центр ЕС и назначенная географическая и тематическая служба;

- Объединенная гибридная ячейка ЕС (часть EU INTCEN - кибербезопасность в гибридном контексте).

Совместная ситуационная осведомленность:

- В рамках регулярного сотрудничества на техническом уровне, направленного на содействие ситуационной осведомленности в Союзе, ENISA должно регулярно подготавливать Технический ситуационный отчет о кибербезопасности в ЕС по инцидентам и угрозам, основанный на общедоступной информации, его индивидуальном анализе и отчетах, представленных ему CSIRTs государств-членов ЕС (добровольно) или едиными контактными пунктами, учрежденными в соответствии с Директивой NIS, Европейским центром борьбы с киберпреступностью (ЕС3) в Европоле и СERT-EU, а при необходимости также Центром анализа разведывательной информации Европейского Союза (INTCEN) в Европейской службе внешнеполитической деятельности (EEAS). Отчет должен быть доступен соответствующим инстанциям Совета ЕС, Европейской Комиссии, HRVP и Сети CSIRTs.

- В случае серьезного инцидента Председатель сети CSIRTs при содействии ENISA подготавливает Отчет об инциденте в сфере кибербезопасности в ЕС*(46), который представляется Председателю, Европейской Комиссии и HRVP через председательствующего CSIRT, выбранного на ротационной основе.

- Все остальные агентства ЕС отчитываются перед своими генеральными директоратами, которые отчитываются перед руководящими службами Европейской Комиссии.

- СERT-EU представляет технические отчеты в Сеть CSIRTs, учреждения и агентства ЕС (при необходимости) и ARGUS (при участии).

- Европол/ЕС3*(47) и СERT-EU представляют экспертно-криминалистический анализ технических рабочих продуктов и другой технической информации в Сеть CSIRTs.

- EEAS SIAC: от имени INTCEN Объединенная гибридная ячейка ЕС отчитывается перед соответствующими отделами EEAS.

Реагирование:

- Сеть CSIRTs обменивается техническими деталями и анализом инцидента, такими как IP-адреса, показатели взлома*(48) и т.д. Указанная информация должна быть незамедлительно представлена в ENISA не позднее чем в течение 24 часов после обнаружения инцидента.

- В соответствии со Стандартными рабочими процедурами Сети CSIRTs ее члены сотрудничают при осуществлении анализа доступных технических рабочих продуктов и другой технической информации, относящейся к инциденту, с целью выявления причин и возможных технических способов борьбы.

- ENISA оказывает содействие CSIRTs в их технической деятельности, опираясь на свой опыт и в соответствии с мандатом*(49).

- CSIRTs государств-членов ЕС координируют свою деятельность в области технического реагирования при содействии ENISA и Европейской Комиссии.

- EEAS SIAC: от имени INTCEN Объединенная гибридная ячейка ЕС устанавливает процесс сбора первоначальных доказательств в процессе реализации.

Публичные сообщения:

- CSIRTs составляют технические рекомендации*(50) и предупреждения об уязвимости*(51) и распространяют их соответствующему сообществу и общественности, используя применимые в каждом конкретном случае процедуры авторизации.

- ENISA облегчает сбор и распространение общих сообщений Сети CSIRTs.

- ENISA координирует свою деятельность в области общественных коммуникаций с Сетью CSIRTs и представителями пресс-службы Европейской Комиссии.

- ENISA и ЕС3 координируют свою деятельность в области общественных коммуникаций на основе общей ситуационной осведомленности, согласованной между государствами-членами ЕС.

- Если кризис будет оказывать существенное внешнее действие или действие на Общую политику безопасности и обороны (CSDP), деятельность в области общественных коммуникаций должна согласовываться с EEAS и представителями пресс-службы HRVP.

Сотрудничество на оперативном уровне

Сфера деятельности:

- Подготовка принятия решений на политическом уровне.

- Координация управления кризисом в сфере кибербезопасности (при необходимости).

- Оценка последствий и воздействия на уровне ЕС и предложение мер по смягчению последствий.

Потенциальные задействованные субъекты

- Государства-члены ЕС:

- Компетентные органы и единые справочные пункты, учрежденные в соответствии с Директивой NIS;

- CSIRTs, агентства по кибербезопасности;

- другие национальные органы, ответственные за конкретные отрасли (в случае инцидента или кризиса, затрагивающего более одной отрасли);

- Органы/офисы/агентства ЕС:

- ENISA;

- Европол/ЕС3;

- CERT-EU;

- Европейская Комиссия:

- Генеральный секретарь (заместитель) SG (процесс ARGUS);

- DG CNECT/HOME;

- Учреждение в сфере безопасности Европейской Комиссии;

- Другие DGs (в случае инцидентов и кризисов, затрагивающих несколько отраслей);

- EEAS:

- Генеральный секретарь (заместитель) в области кризисного реагирования и SIAC (EU INTCEN и EUMS INT);

- Объединенная гибридная ячейка ЕС;

- Совет ЕС:

- Председательствующий (глава Горизонтальной рабочей группы по киберпроблемам или Coreper*(52)) при содействии GSP или PSC*(53) и при поддержке механизмов IPCR, если они задействованы.

Ситуационная осведомленность:

- Содействие в подготовке политических/стратегических ситуационных отчетов (например, ISAA в случае активации IPCR);

- Горизонтальная рабочая группа Совета ЕС по киберпроблемам подготавливает заседания Coreper или PSC при необходимости.

- В случае активации IPCR:

- Председательствующий может созвать круглые столы для содействия подготовке заседаний Coreper или PSC с участием соответствующих заинтересованных сторон из государств-членов ЕС, учреждений, агентств и третьих сторон, таких как страны, не входящие в состав ЕС, и международные организации. Это кризисные сессии, направленные на выявление барьеров и разработку предложений для решения межотраслевых вопросов.

- Головная организация Европейской Комиссии или EEAS, выступая в качестве руководства ISAA, подготавливает отчет ISAA при содействии ENISA, Сети CSIRTs, Европола/ЕС3, EUMS INT, INTCEN и всех остальных задействованных сторон. Отчет ISAA содержит всесоюзную оценку, основанную на корреляции технических инцидентов и оценки кризисов (анализ угроз, оценка рисков, нетехнические последствия и воздействие, некибернетические аспекты инцидента или кризиса и т.д.), приспособленный к потребностям оперативного и политического уровней.

- В случае активации ARGUS:

- CERT-EU и ЕС3*(54) вносят непосредственный вклад в обмен информацией в рамках Европейской Комиссии.

- В случае активации Механизма кризисного реагирования EEAS:

- SIAC активизирует сбор информации и объединяет информацию из всех источников, а также подготавливает анализ и оценку инцидента.

Реагирование (по запросу политического уровня):

- Трансграничное сотрудничество с едиными контактными пунктами и национальными компетентными органами (Директива NIS) с целью смягчения последствий и влияния;

- Реализация всех мер по техническому смягчению последствий и координации технических возможностей, необходимых для прекращения и смягчения воздействия атак на целевые информационные системы;

- Сотрудничество и при необходимости координация технических возможностей для общего или совместного реагирования в соответствии с SOPs Сети CSIRTs;

- Оценка необходимости осуществления сотрудничества с третьими сторонами;

- (при активации) Принятие решений в рамках процесса ARGUS;

- (при активации) Подготовка решений и координация действий в рамках механизма IPCR;

- (при активации) содействие принятию решения EEAS в рамках Механизма кризисного реагирования EEAS, в том числе в части осуществления контактов с третьими странами и международными организациями, а также мер, направленных на защиту миссий и операций CSDP и делегаций ЕС.

Публичные сообщения:

- Согласование публичных сообщений об инциденте;

- Если кризис будет оказывать существенное внешнее действие или действие на Общую политику безопасности и обороны (CSDP), деятельность в области общественных коммуникаций должна согласовываться с EEAS и представителями пресс-службы HRVP.

Сотрудничество на стратегическом/политическом уровне

Потенциальные задействованные субъекты

- от государств-членов ЕС - министры, отвечающие за кибербезопасность;

- от Европейского Совета - Председатель;

- от Совета ЕС - председательствующий на ротационной основе;

- при принятии мер в рамках "Инструмента кибердипломатии" - PSC, Горизонтальная рабочая группа;

- от Европейской Комиссии - Председатель или Вице-председатель/член, которому делегированы соответствующие полномочия;

- Верховный представитель Союза по иностранным делам и политике безопасности/ Вице-председатель Европейской Комиссии.

Сфера деятельности: стратегическое и политическое управление кибернетическими и некибернетическими аспектами кризиса, в том числе мерами в рамках Механизма совместного дипломатического реагирования в ЕС на вредоносную кибердеятельность.

Совместная ситуационная осведомленность:

- Определение воздействия на функционирование Союза разрушений, причиненных кризисом.

Реагирование:

- Активация дополнительных механизмов/инструментов управления кризисами в зависимости от характера и воздействия инцидента. Они могут включать, например, Механизм гражданской защиты.

- Принятие мер в рамках Механизма совместного дипломатического реагирования в ЕС на вредоносную кибердеятельность.

- Оказание экстренной помощи пострадавшим государствам-членам ЕС, например, активировав Фонд реагирования на чрезвычайные ситуации в сфере кибербезопасности*(55) при необходимости.

- При необходимости сотрудничество и координация деятельности с международными организациями, например, с Организацией Объединенных Наций (ООН), Организацией по безопасности и сотрудничеству в Европе (ОБСЕ) и, в частности, НАТО.

- Оценка последствий для национальной безопасности и обороны.

Публичные сообщения:

Принятие решения о единой стратегии коммуникации с общественностью.

СКООРДИНИРОВАННОЕ РЕАГИРОВАНИЕ ГОСУДАРСТВ-ЧЛЕНОВ ЕС НА УРОВНЕ СОЮЗА В РАМКАХ МЕХАНИЗМОВ IPCR

В соответствии с принципом взаимодополняемости на уровне Союза в настоящем разделе устанавливаются и рассматриваются, в частности, основные цели, обязанности и деятельность органов государств-членов ЕС, Сети CSIRTs, ENISA, СERT-EU, Европола/ЕС3, INTCEN, Объединенной гибридной группы Совета ЕС по кибернетическим проблемам в рамках процесса IPCR. Субъекты должны действовать в соответствии с процедурами, установленными на уровне ЕС и национальном уровне.

Важно отметить, что согласно Рисунку 1, несмотря на активацию механизма кризисного управления на уровне ЕС, деятельность на национальном уровне, а также сотрудничество в рамках Сети CSIRTs (при необходимости) осуществляется в случае инцидента/кризиса с соблюдением принципов субсидиарности и пропорциональности.

Рисунок 1

Реагирование на инцидент/кризис в сфере кибербезопасности на уровне ЕС

Вся деятельность, описанная ниже, должна осуществляться в соответствии со стандартными рабочими процедурами/правилами задействованных механизмов сотрудничества и при их соблюдении, а также согласно установленным мандатам и полномочиям отдельных субъектов и учреждений. В целях достижения наилучшего варианта сотрудничества и эффективного реагирования на широкомасштабные инциденты и кризисы в сфере кибербезопасности может потребоваться дополнение или изменение процедур/правил.

Не от всех названных ниже субъектов может потребоваться осуществление действий при наступлении конкретного инцидента. Тем не менее в Концепции и в соответствующих стандартных рабочих процедурах механизмов сотрудничества должны быть предусмотрены варианты их возможного участия.

Учитывая различный уровень воздействия на общество, которое могут оказать инцидент и кризис в сфере кибербезопасности, высокий уровень гибкости в отношении участия секторальных субъектов на всех уровнях и соответствующее реагирование будут основываться на действиях внутри и за пределами киберпространства.

Управление кризисами в сфере кибербезопасности - интеграция кибербезопасности в процессе IPCR

Механизмы IPCR, описанные в SOPs IPCR*(56), следуют этапам, описанным ниже (использование некоторых этапов будет зависеть от обстоятельств).

Деятельность в сфере кибербезопасности и задействованные субъекты определяются на каждом этапе. Для простоты использования читателем на каждом этапе текст SOPs IPCR сопровождается описанием деятельности из Концепции. Указанный поэтапный подход также позволяет четко определить существующие пробелы в необходимых возможностях и процедурах, которые препятствуют эффективному реагированию на кризисы в сфере кибербезопасности.

Рисунок 2 (ниже*(57)) является графическим представлением процесса IPCR, новые элементы представлены в синем цвете.

Рисунок 2

Элементы кибербезопасности в IPCR

Примечание: Учитывая характер гибридных угроз в киберпространстве, которые задумываются таким образом, чтобы они не достигали предела признания кризисом, ЕС должен принять превентивные меры и меры, направленные на подготовку. Задачей Объединенной гибридной ячейки ЕС является быстрый анализ соответствующих инцидентов и информирование соответствующих координационных структур. Регулярные отчеты Объединенной ячейки могут внести вклад в информированное отраслевое формирование политики в целях повышения готовности.

- Шаг 1 - Постоянный отраслевой мониторинг и оповещение: существующие регулярные ситуационные отчеты и оповещения указывают Председателю Совета ЕС на возникающий кризис и его возможное развитие.

- Выявленный пробел: В настоящее время не существует постоянных и скоординированных ситуационных отчетов в сфере кибербезопасности и предупреждений об инцидентах (и угрозах) в сфере кибербезопасности на уровне ЕС.

- Концепция: Ситуационный мониторинг/отчетность о кибербезопасности в ЕС

- Периодический технический ситуационный отчет по инцидентам и угрозам в сфере кибербезопасности в ЕС подготавливается ENISA по вопросам инцидентов и угроз, он основывается на общедоступной информации, его индивидуальном анализе и отчетах, представленных ему CSIRTs государств-членов ЕС (добровольно) или едиными контактными пунктами, учрежденными в соответствии с Директивой NIS, Европейским центром борьбы с киберпреступностью (ЕС3) в Европоле, СERT-EU и Центром анализа разведывательной информации Европейского Союза (INTCEN) в Европейской службе внешнеполитической деятельности (EEAS). Отчет должен быть доступен соответствующим инстанциям Совета ЕС, Европейской Комиссии и Сети CSIRTs.

- Объединенная гибридная ячейка ЕС от имени SIAC должна подготовить Оперативный ситуационный отчет по кибербезопасности в ЕС. Отчет также оказывает содействие Механизму дипломатического реагирования ЕС на вредоносную кибердеятельность.

- Оба отчета распространяются в ЕС и среди национальных заинтересованных сторон в целях повышения их ситуационной осведомленности, информированного принятия решений и содействия трансграничному региональному сотрудничеству.

После обнаружения инцидента

- Шаг 2 - Анализ и рекомендации: На основе доступных данных мониторинга и оповещений службы Европейской Комиссии, EEAS и GSP должны информировать друг друга о возможных вариантах развития событий, чтобы быть готовыми предоставить Председателю рекомендации о возможной активации (полной или в режиме информационного обмена) IPCR.

- Концепция:

- От Европейской Комиссии, DG CNECT, DG HOME, DG HR.DS и DG DIGIT при поддержке ENISA, ЕС3 и CERT-EU.

- EEAS. Основываясь на работе Sitroom и источниках разведывательной информации, Объединенная гибридная ячейка ЕС информирует о ситуации с существующими и потенциальными гибридными угрозами, влияющими на ЕС и его партнеров, в том числе и угрозами в кибернетической сфере, поэтому, когда анализ и оценка Объединенной гибридной ячейки ЕС демонстрируют существование возможных угроз государствам-членам ЕС, странам-партнерам или организациям, INTCEN будет информировать (по первой инстанции) на оперативном уровне в соответствии с установленными процедурами. Затем на оперативном уровне будут разработаны рекомендации для стратегического политического уровня, в том числе о возможной активации мер антикризисного управления в режиме мониторинга (например, Механизм кризисного реагирования EEAS или страница мониторинга IPCR).

- Председатель сети CSIRTs при содействии ENISA подготавливает Ситуационный отчет об инциденте в сфере кибербезопасности в ЕС*(58), который представляется Председателю, Европейской Комиссии и HRVP через председательствующего на ротационной основе CSIRT.

- Шаг 3 - Оценка/принятие решений об активации IPCR. Председательствующий оценивает необходимость осуществления политической координации, информационного обмена или принятия решений на уровне ЕС. Для этого он может созвать неформальную встречу в формате круглого стола. Председательствующий проводит первоначальную оценку сфер, которые потребуют задействования Coreper и Совета ЕС, что составит основу для составления Совместных ситуационных отчетов об осведомленности и анализе (ISAA). Учитывая специфику кризиса, его возможные последствия и соответствующие политические потребности, Председатель должен принять решение о целесообразности созыва заседаний соответствующих Рабочих групп Совета ЕС и/или Coreper, и/или PSC.

- Концепция:

- Участники круглого стола:

- Службы Европейской Комиссии и EEAS будут давать Председателю рекомендации в своих отраслях компетенции.

- Представители государств-членов ЕС в Горизонтальной рабочей группе по кибернетическим вопросам при поддержке головных экспертов (CSIRTs, компетентные органы в сфере кибербезопасности и другие).

- Политическое/стратегическое руководство для отчетов ISAA, основанное на последнем Ситуационном отчете о кибербезопасности в ЕС и дополнительной информации, предоставленной участниками круглого стола.

- Соответствующие Рабочие группы и Комитеты:

- Горизонтальная рабочая группа по кибернетическим вопросам.

Европейская Комиссия, EEAS и GSC при полном согласии и в сотрудничестве с Председателем также могут принять решение об активации IPCR в режиме обмена информацией путем создания кризисной страницы в целях подготовки к возможной полной активации.

- Шаг 4 - Активации IPCR/Сбор и обмен информацией. После активации (в режиме обмена информацией или в полноценном режиме) на платформе веб-сайта IPCR создается кризисная страница, которая позволяет осуществлять специальный обмен информацией с акцентом на аспектах, которые помогут предоставить информацию ISAA и подготовить обсуждения на политическом уровне. Выбор руководящей службы ISAA (одна из служб Европейской Комиссии или EEAS) будет зависеть от обстоятельств дела.

- Шаг 5 - Составление отчетов ISAA. Составление отчетов ISAA начинается на данном этапе. Европейская Комиссия/EEAS будут готовить отчеты ISAA согласно ISAA SOPs и могут способствовать дальнейшему обмену информацией на базе платформы веб-сайта IPCR и направлять специальные запросы информации. Отчеты ISAA будут адаптированы к потребностям политического уровня (например, Coreper или Совета ЕС), определенным Председателем и установленным в его руководстве, что обеспечит стратегический обзор ситуации и информированное обсуждение пунктов повестки дня, определенных Председателем. В соответствии с ISAA SOPs характер кризиса в сфере кибербезопасности будет определять, какая из служб Европейской Комиссии (DG CNECT, DG HOME) или EEAS будет готовить отчет ISAA.

После активации IPCR Председатель определяет конкретные области, на которых ISAA следует сосредоточиться в целях содействия политической координации и/или процессу принятия решений в Совете ЕС. Председатель также после консультаций со службами Европейской Комиссии/EEAS определяет временные рамки для составления отчета.

- Концепция:

- Отчет ISAA содержит информацию, полученную от соответствующих служб, в том числе:

- Сеть CSIRTs в форме Ситуационного отчета об инциденте в сфере кибербезопасности в ЕС.

- ЕС3, Sitroom, Объединенная гибридная ячейка ЕС, CERT-EU. Объединенная гибридная ячейка ЕС будет при необходимости оказывать поддержку руководящей службе ISAA и круглому столу IPCR и предоставлять им информацию.

- Отраслевые агентства и органы ЕС в зависимости от затронутых отраслей.

- Органы государств-членов ЕС (за исключением CSIRTs).

- Сбор данных ISАA*(59):

- Европейская Комиссия и Агентства ЕС. IT-система ARGUS обеспечивает внутреннюю базовую сеть для ISАA. Агентства ЕС направляют свои данные в релевантным ответственным DGs, которые в свою очередь передают соответствующую информацию в ARGUS. Службы Европейской Комиссии и Агентства ЕС будут собирать информацию из существующих отраслевых сетей государств-членов ЕС и международных организаций, а также из других соответствующих источников.

- Для EEAS. Ситуационный центр ЕС при поддержке других соответствующих отделов EEAS обеспечивает внутреннюю базовую сеть и единый справочный пункт для ISAA. EEAS будет собирать информацию из третьих стран и соответствующих международных организаций.

- Шаг 6 - Подготовка неформального круглого стола Председателя. Председатель при содействии Генерального секретариата Совета ЕС будет определять сроки, повестку дня, участников и ожидаемые результаты (возможные результаты) заседания неформального круглого стола Председателя. GSC передает соответствующую информацию на веб-платформу IPCR от имени Председателя, а также составляет уведомление о заседании.

- Шаг 7 - Круглый стол Председателя/подготовительные мероприятия для политической координации ЕС/принятие решений. Председатель собирает неформальный круглый стол для оценки ситуации, а также для подготовки и обсуждения вопросов, которые будут поставлены перед Coreper или Советом ЕС. Неформальный круглый стол Председателя также будет представлять собой форум для разработки, рассмотрения и обсуждения всех предложений по осуществлению действий Coreper/Советом ЕС.

- Концепция:

- Горизонтальная рабочая группа Совета ЕС по кибернетическим вопросам должна подготавливать PSC или Coreper.

- Шаг 8 - Политическое сотрудничество и принятие решений на уровне Coreper/Совета ЕС. Результаты заседаний Coreper/Совета ЕС касаются координации реагирования на всех уровнях, решений по исключительным мерам, политических деклараций и т.д. Указанные решения также представляют собой обновленное политическое/стратегическое руководство для будущего составления отчетов ISAA.

- Концепция:

- Политическое решение о координации реагирования на кризис в сфере кибербезопасности реализуется с помощью деятельности (осуществляемой соответствующими задействованными субъектами), описанной выше в Разделе 1 "Сотрудничество на стратегическом/политическом, оперативном и техническом уровнях" в части Реагирования и Публичных сообщений.

- Составление отчетов ISAA продолжается на основе сотрудничества на техническом, оперативном и политическом/стратегическом уровнях в части Ситуационной осведомленности, также описанной выше в Разделе 1.

- Шаг 9 - Мониторинг воздействия. Руководящая служба ISАA при содействии лиц, вносящих вклад в деятельность ISАA, сообщает о развитии кризиса и о воздействии принятых политических решений. Указанный цикл обратной связи будет способствовать процессу развития и принятию решений Председателем о длящемся участии на политическом уровне или о постепенном прекращении IPCR.

- Шаг 10 - Поэтапное прекращение. В соответствии с процессом, аналогичным процессу активации, Председатель может созвать заседание Неофициального круглого стола в целях оценки возможности сохранять IPCR активным или возможности его прекращения. Председатель может принять решение о прекращении или сокращении работы IPCR.

- Концепция:

- ENISA может быть предложено принять участие или осуществить последующее техническое расследование инцидента в соответствии с положениями его мандата.

ДОПОЛНЕНИЕ

1. МЕХАНИЗМЫ КРИЗИСНОГО УПРАВЛЕНИЯ И СОТРУДНИЧЕСТВА, ЗАДЕЙСТВОВАННЫЕ СУБЪЕКТЫ НА УРОВНЕ ЕС.

Механизмы кризисного управления

Механизмы Комплексного политического реагирования на кризисы (IPCR): Механизмы Комплексного политического реагирования на кризисы (IPCR), одобренные Советом ЕС 25 июня 2013 г.*(60), направлены на содействие своевременной координации действий и реагированию на политическом уровне ЕС в случае серьезного кризиса. IPCR также содействуют координации реагирования на политическом уровне при применении условия о солидарности (Статья 222 TFEU) в соответствии с Решением 2014/415/ЕС Совета ЕС о мерах по имплементации Союзом условия о солидарности, принятым 24 июня 2014 г. В Стандартных рабочих процедурах IPCR*(61) (SOPs) устанавливается процесс активации и последующие действия, которые необходимо предпринять.

ARGUS: Система кризисного управления, учрежденная Европейской Комиссией в 2005 г. в целях обеспечения особого процесса координации при серьезных межотраслевых кризисах. Она поддерживается общей системой быстрого оповещения (IT-инструмент) с аналогичным названием. В ARGUS предусмотрены два этапа, на этапе II (в случае серьезного межотраслевого кризиса) созываются заседания Комитета по кризисной координации (ССС*(62)) под руководством Председателя Европейской Комиссии или члена Европейской Комиссии, которому делегированы соответствующие полномочия. В ССС собираются представители соответствующих DGs Европейской Комиссии, Кабинетов и других служб ЕС в целях руководства и координации деятельности Европейской Комиссии по реагированию на кризисы. Под руководством заместителя генерального секретаря ССС оценивает ситуацию, рассматривает варианты и принимает решения о действиях в отношении механизмов и инструментов под контролем Европейской Комиссии и гарантирует исполнение решений*(63)^,*(64).

Механизм кризисного реагирования EEAS: Механизм кризисного реагирования EEAS представляет собой структурированную систему для реагирования EEAS на кризисы и чрезвычайные ситуации, которые носят внешний характер или оказывают существенное внешнее действие, в том числе гибридные угрозы, оказывающие реальное или потенциальное влияние на интересы ЕС или государства-члена ЕС. Обеспечивая участие соответствующих должностных лиц Европейской Комиссии и Секретариата Совета ЕС на своих заседаниях, CRM облегчает взаимодействие между дипломатией, безопасностью, обороной и финансовыми, торговыми инструментами и инструментами сотрудничества, которыми управляет Европейская Комиссия. Кризисная ячейка может быть активирована на весь период кризиса.

Механизмы сотрудничества

Сеть CSIRTs: Сеть Группы реагирования на инциденты, связанные с компьютерной безопасностью, объединяет все национальные и правительственные CSIRTs и CERT-EU. Целью сети является обеспечение возможности обмена и облегчение обмена информацией между CSIRTs по вопросам угроз и инцидентов в сфере компьютерной безопасности, а также обеспечение сотрудничества в области инцидентов и кризисов в сфере компьютерной безопасности.

Горизонтальная рабочая группа Совета ЕС по кибернетическим вопросам: Рабочая группа была создана для обеспечения стратегического и горизонтального сотрудничества в Совете ЕС по вопросам киберполитики, она может быть задействована в законодательной и незаконодательной деятельности.

Задействованные субъекты

ENISA: Европейское агентство по сетевой и информационной безопасности было создано в 2004 г. Оно тесно сотрудничает с государствами-членами ЕС и частным сектором для предоставления советов и принятия решений по таким вопросам, как Общеевропейские учения по вопросам кибербезопасности, разработка национальной стратегии в сфере кибербезопасности, сотрудничество CSIRTs и наращивание потенциала. ENISA напрямую сотрудничает со CSIRTs на всей территории ЕС и выступает Секретариатом Сети CSIRTs.

ERCC: Координационный центр реагирования на чрезвычайные ситуации в Европейской Комиссии (в составе Генерального директората Европейской Комиссии по гражданской защите и гуманитарной помощи - DG ECHO) оказывает помощь и координирует широкой спектр деятельности в области предупреждения, подготовки и реагирования в режиме работы 24/7. Учрежденный в 2013 г., он является центром реагирования Европейской Комиссии на кризисы (работая совместно с другими кризисными подразделениями ЕС) в том числе в качестве центрального контактного пункта IPCR с режимом работы 24/7.

Европол/ЕС3: Европейский центр борьбы с киберпреступностью (ЕС3), созданный в 2013 г. в рамках в Европола, содействует правоохранительной деятельности в области киберпреступности в ЕС. ЕС3 обеспечивает оперативную и аналитическую поддержку государствам-членам ЕС в расследованиях и служит в качестве центрального пункта для получения криминалистической информации и пункта содействия разведывательной деятельности и расследованиям государств-членов ЕС путем предоставления оперативного анализа, координации и экспертных знаний, а также высокоспециализированных возможностей технической и цифровой судебной поддержки.

CERT-EU: Группа быстрого реагирования на нарушения компьютерной безопасности учреждений, органов и агентств ЕС уполномочена на усиление защиты учреждений, органов и агентств ЕС от киберугроз. Она является участником сети CSIRTs. CERT-EU заключены соглашения на обмен информацией о киберугрозах с CERT НАТО, некоторыми третьими странами и основными коммерческими структурами в сфере кибербезопасности.

Разведывательное сообщество ЕС включает в себя Центр анализа разведывательной информации ЕС (INTCEN), Разведывательное управление военного штаба ЕС (EUMS) (EUMS INT) в рамках системы SIAC Центра анализа разведывательных данных (SIAC). Функции SIAC заключаются в предоставлении анализа разведывательной информации, раннем предупреждении и ситуационной осведомленности Верховного представителя Союза по иностранным делам и политике безопасности и Европейской службы внешнеполитической деятельности (EEAS). SIAC предлагает свои услуги различным органам ЕС, принимающим решения в области Общей политики безопасности и обороны (CSDP) и борьбы с терроризмом (CT), а также государствам-членам ЕС. INTCEN и EUMS INT не являются рабочими агентствами и не наделены полномочиями по сбору информации. Ответственность за оперативный уровень разведки лежит на государствах-членах ЕС. SIAC занимается исключительно стратегическим анализом.

Объединенная гибридная ячейка ЕС: Совместное сообщение о борьбе с гибридными угрозами от апреля 2016 г. обозначило Объединенную гибридную ячейку ЕС (EU HFC) как координационный центр для всех источников анализа гибридных угроз в ЕС: ее мандат был одобрен Европейской Комиссией в декабре 2016 г. в ходе межведомственных консультаций. На базе INTCEN Объединенная гибридная ячейка ЕС представляет собой часть SIAC, а следовательно, работает совместно с EUMS INT, и в ее состав в качестве постоянного члена входит военнослужащий. Термин "гибридный" означает преднамеренное использование государством или негосударственным субъектом комбинации нескольких скрытых/явных, военных/гражданских инструментов и рычагов, таких как кибератаки, кампании по дезинформации, шпионаж, экономическое давление, использование прокси-сил, или другой подрывной деятельности. EU HFC работает с обширной сетью контактных пунктов (PoCs*(65)) в рамках Европейской Комиссии государств-членов ЕС в целях обеспечения комплексного реагирования/целостного подхода, необходимого для борьбы с различными проблемами.

EU Sitroom: Ситуационный центр ЕС входит в состав Разведывательного и ситуационного центра ЕС (EU INTCEN) и предоставляет EEAS оперативные возможности для обеспечения незамедлительного и эффективного реагирования на кризисы. Он представляет собой постоянный военно-гражданский вспомогательный орган, который обеспечивает всемирный мониторинг и ситуационную осведомленность в режиме 24/7.

Соответствующие инструменты

Механизм совместного дипломатического реагирования ЕС на вредоносную кибердеятельность: Механизм, согласованный в июне 2017 г., представляет собой часть подхода ЕС к кибердипломатии, который участвует в предупреждении конфликтов, смягчении последствий киберугроз и способствует усилению стабильности в международных отношениях. Механизм полноценно использует меры в рамках Общей политики безопасности и обороны, в том числе и ограничительные меры при необходимости. Использование мер в рамках Механизма должно способствовать сотрудничеству, упрощать смягчение последствий настоящих и долгосрочных угроз, а также должно оказывать влияние на поведение преступников и потенциальных агрессоров в долгосрочной перспективе.

2. КРИЗИСНАЯ КООРДИНАЦИЯ В СФЕРЕ КИБЕРБЕЗОПАСНОСТИ В МЕХАНИЗМАХ IPCR - ЭТАП ГОРИЗОНТАЛЬНОЙ КООРДИНАЦИИ И ПОЛИТИЧЕСКАЯ ЭСКАЛАЦИЯ

Механизмы IPCR могут быть (и должны быть) использованы для решения технических и оперативных вопросов, но всегда с политической/стратегической точки зрения.

С точки зрения эскалации IPCR может быть использована в зависимости от уровня кризиса, с "режима мониторинга" до "режима обмена информацией", которые представляют собой первый этап активации IPCR, и до режима "полноценной активации IPCR".

Активация в полноценном режиме происходит по решению председательствующего от Совета ЕС, избранного на ротационной основе. Европейская Комиссия, EEAS и GSC могут активировать IPCR в режиме обмена информацией. Режимы мониторинга и обмена информацией инициируют различные уровни обмена информацией, активация режима обмена информацией приводит к необходимости составления отчетов ISAA. Полноценная активация подразумевает созыв круглых столов IPCR с привлечением к участию Председателя (обычно глава Coreper II или эксперт в соответствующем вопросе на уровне советника постпреда, но некоторые круглые столы созывались на уровне министров).

Задействованные субъекты

Во главе - председатель, избираемый на ротационной основе (обычно глава Coreper);

От имени Европейского Совета - Кабинет председателя;

От имени Европейской Комиссии - уровень заместителя Генерального секретаря/генерального секретаря и/или эксперты в соответствующем вопросе;

От имени EEAS - уровень заместителя Генерального секретаря/Исполнительного директората и/или эксперты в соответствующем вопросе;

От имени GSC - кабинет Генерального секретаря, группа IPCR и ответственные генеральные директораты.

Сфера деятельности: формирование общей интегрированной картины ситуации и повышение осведомленности об уязвимых местах или недостатках на каждом из трех уровней для их устранения на политическом уровне, выработка решений за столом, если они попадают в сферу компетенции участников или для подготовки предложений по осуществлению действий для Coreper II и Совета ЕС.

Совместная ситуационная осведомленность:

(не активирован): Страницы мониторинга IPCR могут быть созданы для отслеживания развития ситуации, которая может перерасти в кризис, способный повлиять на ЕС;

(режим обмена информацией IPCR): отчеты ISAA будут составляться главой ISAA на основании данных служб Европейской Комиссии, EEAS и государств-членов ЕС (по запросу IPCR);

(режим полноценной активации IPCR): в дополнение к отчетам ISAA неформальные круглые столы IPCR объединяют различных субъектов, задействованных в MS, Европейской Комиссии, EEAS, соответствующих агентствах и т.д. для обсуждения уязвимых мест или недостатков.

Сотрудничество и реагирование:

Активация/синхронизация дополнительных механизмов управления кризисами/инструментов зависит от характера и влияния инцидента, что может включать в себя, например, Механизм гражданской защиты, Механизм совместного дипломатического реагирования ЕС на вредоносную кибердеятельность или "Совместную рамочную программу по борьбе с гибридными угрозами".

Кризисная коммуникация:

Председатель после консультаций с соответствующими службами Европейской Комиссии, GSC и EEAS может активировать Сеть связи в кризисных ситуациях IPCR в целях содействия созданию общих сообщений или укрепления наиболее эффективных средств коммуникаций.

3. УПРАВЛЕНИЕ КРИЗИСАМИ В СФЕРЕ КИБЕРБЕЗОПАСНОСТИ В ARGUS - ОБМЕН ИНФОРМАЦИЕЙ В РАМКАХ ЕВРОПЕЙСКОЙ КОМИССИИ

Столкнувшись с неожиданными кризисными ситуациями, которые требуют осуществления действий на уровне Союза, например, мадридские террористические атаки (март 2004 г.), цунами в юго-восточной Азии (декабрь 2004 г.), лондонские террористические атаки (июль 2005 г.), Европейская Комиссия в 2005 г. создала координационную систему ARGUS, которая поддерживается общей системой быстрого оповещения) с аналогичным названием*(66)^,*(67). Она призвана обеспечить особый процесс кризисной координации при серьезных межотраслевых кризисах для обеспечения обмена информацией о кризисе в режиме реального времени и быстрого принятия решений.

В ARGUS предусмотрены два этапа в зависимости от тяжести события:

Этап I: используется для обмена информацией в условиях мелкомасштабного кризиса.

Примерами недавних событий, о которых сообщалось на первом этапе, являются лесные пожары в Португалии и Израиле, атака в Берлине в 2016 г., наводнения в Албании, ураган "Мэтью" на Гаити и засуха в Боливии. Каждый Генеральный директорат может объявить Этап I в отношении события, если он решит, что ситуация находится в сфере его компетенции и является достаточно серьезной, чтобы оправдать обмен информацией или извлечь из него выгоду. Например, DG CNECT или DG HOME объявляет Этап I в отношении события, если они считают, что киберситуация относится к сфере их компетенции и является достаточно серьезной, чтобы оправдать обмен информацией или извлечь из него выгоду.

Этап II: запускается в случае серьезного межотраслевого кризиса или надвигающейся или неизбежной угрозы Союзу.

Этап II запускает конкретный процесс координации, дающий Европейской Комиссии возможность принимать решения и руководить быстрым, скоординированным и последовательным реагированием на самом высоком уровне в области их компетенции при сотрудничестве с другими учреждениями. Этап II предназначен для серьезного межотраслевого кризиса или надвигающейся или неизбежной угрозы. Примерами реальных событий Этапа II являются кризис мигрантов/беженцев (длящийся с 2015 г.), тройная катастрофа на Фукусиме (2011 г.) и извержение вулкана Эйяфьядлайёкюдль в Исландии (2010 г.).

Этап II активизируется Председателем по собственной инициативе или по запросу члена Европейской Комиссии. Председатель может возложить политическую ответственность за реагирование Европейской Комиссии на члена Европейской Комиссии, ответственного за службы, наиболее затронутые данным кризисом, или взять ответственность на себя.

На данном этапе предусмотрены созывы экстренных заседаний Комитета по кризисной координации (ССС). Они созываются под руководством Председателя Европейской Комиссии или члена Европейской Комиссии, которому делегированы соответствующие полномочия. Заседания созываются Генеральным секретариатом с помощью IT-инструмента ARGUS. ССС представляет собой особую структуру по управлению кризисами, созданную для руководства и координации деятельности Европейской Комиссии по реагированию на кризисы, в рамках которой собираются представители соответствующих Генеральных директоратов Европейской Комиссии, Кабинетов и других служб ЕС. Под руководством заместителя генерального секретаря ССС оценивает ситуацию, рассматривает варианты и принимает решения, а также гарантирует, что указанные решения и действия реализуются, при одновременном обеспечении последовательности и постоянства реагирования. Генеральный секретариат предоставляет поддержку ССС.

4. МЕХАНИЗМ КРИЗИСНОГО РЕАГИРОВАНИЯ EEAS

Механизм кризисного реагирования EEAS (CRM) активируется при возникновении серьезных или чрезвычайных ситуаций, которые и оказывают важное внешнее действие в ЕС. CRM активизируется заместителем Генерального секретаря (DGS) по кризисному реагированию после консультации с Верховным представителем Союза по иностранным делам и политике безопасности или Генеральным секретарем. Верховный представитель Союза по иностранным делам и политике безопасности или Генеральный секретарь, другой DGS или MD могут запросить DGS по кризисному реагированию активировать Механизм кризисного реагирования.

CRM способствует согласованности реагирования ЕС на кризисы в рамках стратегии безопасности. В частности, CRM облегчает взаимодействие между дипломатией, безопасностью, обороной, финансовыми, торговыми инструментами и инструментами сотрудничества, которыми управляет Европейская Комиссия.

CRM связан с Общей системой реагирования Европейской Комиссии на чрезвычайные ситуации (ARGUS) и Механизмами Комплексного политического реагирования на кризисы (IPCR) в целях осуществления совместной деятельности в случае одновременной активации. Ситуационный центр EEAS выступает в качестве связующего звена между EEAS и системами реагирования на чрезвычайные ситуации Совета ЕС и Европейской Комиссии.

Обычно первое действие, связанное с реализацией CRM, - это созыв Кризисного заседания представителей EEAS, высшего руководства Европейской Комиссии и Совета ЕС, непосредственно затронутых рассматриваемым кризисом. На Кризисном заседании оцениваются краткосрочные последствия кризиса, а также может быть принято решение о введении незамедлительных действий или активации Кризисной ячейки или Кризисной платформы. Указанные действия могут быть реализованы в любой последовательности.

Кризисная ячейка представляет собой небольшой оперативный центр, объединяющий представителей EEAS, служб Европейской Комиссии и Совета ЕС, которые задействованы в реагировании на кризис, чтобы постоянно следить за ситуацией и помогать отдельным лицам, ответственным за принятие решений в штаб-квартире EEAS. При активации Кризисная ячейка работает 24 часа в сутки, 7 дней в неделю.

Кризисная платформа объединяет соответствующие службы EEAS, Европейской Комиссии и Совета ЕС для оценки среднесрочных и долгосрочных последствий кризисов и согласования действий, которые необходимо предпринять. Она возглавляется Верховным представителем Союза по иностранным делам и политике безопасности или Генеральным секретарем или DGS по кризисному реагированию. В рамках Кризисной платформы оценивается эффективность действий ЕС в стране или регионе, затронутых кризисом, принимаются решения по внесению изменений в дополнительные меры, а также обсуждаются предложения для осуществления действий Советом ЕС. Кризисная платформа представляет собой внеочередное заседание, поэтому она не работает постоянно.

Целевая группа состоит из представителей служб, участвующих в реагировании на кризис, и может быть задействована для отслеживания и содействия реагированию в рамках ЕС. Она оценивает влияние действий ЕС, подготавливает программные документы и альтернативные документы, участвует в подготовке Политической рамочной программы по антикризисному подходу (PFCAs*(68)), вносит вклад в Коммуникационную стратегию и принимает другие меры, которые могут облегчить реализацию реагирования на уровне ЕС.

5. СПРАВОЧНАЯ ДОКУМЕНТАЦИЯ

Ниже приведен список справочной документации, которая была учтена при разработке Концепции:

- Рамочная программа осуществления сотрудничества при кризисах в кибернетической сфере, Версия 1, 17 октября 2012 г;

- Отчет по сотрудничеству и управлению кризисами в сфере кибербезопасности, ENISA, 2014 г.;

- Практическая информация по реагирования на инциденты в сфере безопасности, ENISA, 2014 г.;

- Общая практика по управлению кризисами на уровне ЕС и ее применение к кризисам в кибернетической сфере, ENISA, 2015 г.;

- Стратегия реагирования на кризисы и сотрудничества при кризисах в кибернетической сфере, ENISA, 2016 г.;

- Стандартные рабочие процедуры ЕС в кибернетической сфере, ENISA, 2016 г.;

- Справочник по передовой практике использования классификаций при предотвращении и расследовании инцидентов, ENISA, 2017 г.;

- Сообщение об усилении европейской системы устойчивости к угрозам в сфере кибербезопасности и создание конкурентоспособного и инновационного сектора кибербезопасности, COM (2016) 410 в последней редакции от 5 июля 2016 г.;

- Заключения Совета ЕС по усилению европейской системы устойчивости к угрозам в сфере кибербезопасности и созданию конкурентоспособного и инновационного сектора кибербезопасности - Заключения Совета ЕС (15 ноября 2016 г.), 14540/16;

- Решение 2014/415/ЕС Совета ЕС от 24 июня 2014 г. о мерах по имплементации Союзом условия о солидарности (ОЖ N L 192, 01.07.2014, стр. 53);

- Завершение процесса пересмотра ССА: Механизмы комплексного политического реагирования на кризисы (IPCR) в ЕС, 10708/13 от 7 июня 2013 г.;

- Совместная ситуационная осведомленность и анализ (ISAA) - Стандартные рабочие процедуры, DS 1570/15, 22 октября 2015 г.;

- Положения Европейской Комиссии о системе быстрого оповещения "ARGUS", СОМ(2005) 662 в последней редакции, 23 декабря 2005 г.;

- Решение 2006/25/ЕС Европейской Комиссии, Евратом от 23 декабря 2005 г. об изменении внутреннего порядка работы (ОЖ N L 19, 24.01.2006, стр. 20);

- ARGUS Modus Operandi, Европейская Комиссия, 23 октября 2013 г.;

- Заключения Совета ЕС по Механизму совместного дипломатического реагирования в ЕС на вредоносную кибердеятельность ("Комплекс дипломатических кибермер"). Документ 9916/17;

- Оперативный протокол ЕС по борьбе с гибридными угрозами, "Стратегия ЕС", Документ SWD (2016) 227;

- Механизм кризисного реагирования EEAS, 8 ноября 2016 г. (Ares (2017) 880661). Рабочий документ объединенного штаба по оперативному протоколу ЕС по борьбе с гибридными угрозами, "Стратегия ЕС", SWD (2016) 227, в последней редакции от 5 июля 2016 г.;

- Общее сообщение Европейского Парламента и Совета ЕС: Совместная рамочная программа по борьбе с гибридными угрозами - реагирование Европейского Союза JOINT/2016/018 в последней редакции от 6 апреля 2016 г.;

- EEAS (2016) 1674 - Рабочий документ Европейской службы внешнеполитической деятельности - Объединенная гибридная ячейка ЕС - Техническое задание.

6. ЭЛЕМЕНТЫ КИБЕРБЕЗОПАСНОСТИ В ПРОЦЕССЕ IPCR.