关于海底电缆基础设施的安全和复原力的建议

委员会建议 of 26.2.2024 关于安全和弹性海底电缆基础设施 委员会建议 of 26.2.2024 关于安全和弹性海底电缆基础设施 欧洲委员会, 考虑到《欧洲联盟运作条约》，特别是第292条， Whereas: (1)我们的经济和社会越来越依赖互联网的运作以及国际连通性，以实现联盟的竞争性数字化和它的经济。在这种情况下，海底电缆基础设施是一个重要的在更广泛的互联网生态系统中实现欧洲数字主权的要素，鉴于绝大多数国际数据流量是通过海底电缆。联盟中的许多岛屿，包括三个岛屿成员国家，以及欧盟最外层地区和海外国家和领土，联盟内部通信几乎完全依赖这种海底电缆。在当前风险加剧和敌对人为安全威胁的背景下，鉴于这些基础设施的相互联系和跨国性质，政府在世界所有地区都特别注意他们对关键的潜在依赖电缆，作为海底电缆通信的系统性和广泛中断如果发生协同攻击，可能会导致特别严重的后果。(2)(3)成员国确认了在联盟一级采取行动的必要性。2022年3月9日的Nevers Call1认识到关键的战略重要性电信网络和数字服务等基础设施我们社会中的关键职能，以及它们是网络攻击。在NIS合作小组的支持下，跟进Nevers Call欧盟委员会和欧盟网络安全机构（ENISA），并与欧洲电子通信监管机构(BEREC)对通信基础设施进行了高级别风险评估，并网络，包括海底电缆。此风险评估确定了物理对海底电缆的攻击/破坏，以及影响海底电缆的停电依靠中继器，作为关键威胁。基于这些威胁和一些漏洞已确定，会员国制定了一套具有战略重要性的风险情景从欧盟的角度来看。这些特别包括第三国干预的风险在供应商、托管安全服务提供商或海底电缆上，以及对数字基础设施进行协调的物理攻击/破坏，包括潜艇电缆。 (4)(5)理事会2022年12月关于全联盟协调的建议加强关键基础设施韧性的方法2（'关键“基础设施弹性建议”)在工会和国家一级加强备灾、加强应对和国际合作。这些行动特别侧重于具有重要意义的关键基础设施已确定的关键部门的跨境相关性，如能源、运输、空间和数字基础设施。在该建议中，理事会请委员会执行海底通信电缆弹性综合研究并就以下方面的适当措施咨询相关利益攸关方和专家possible significant incidences regarding submarine infrastructure. The Commissionhas开展这方面的研究，并将与会员国分享其结论在适当的保密级别。本建议力求补充和支持关键基础设施弹性的实施建议。(6)2023年6月欧洲经济安全战略联合通讯3提议关键基础设施的物理和网络安全风险仍在继续根据理事会2022年12月8日的建议进行评估，以及在这些风险的背景下，将海底电缆确定为关键基础设施。在关于2023年数字十年状况的报告，4委员会建议会员国加强努力，包括通过必要的投资，以确保欧洲数字基础设施是安全和有弹性的，特别是骨干基础设施和海底电缆。“(7)(8)欧洲理事会2023年10月27日的结论强调“需要有效加强复原力和确保关键基础设施安全的措施，“同时强调“全面和协调方法的重要性”。在这种背景下，欧盟必须迅速解决这些问题。会员国在根据本建议采取措施时，将在适用和适当的，必须按照各自的规定行事，指令(EU) 2018 / 1972 (“EECC ”)中规定的义务和机制，5指令（EU）2022 / 2555（“NIS 2指令”），6指令(EU) 2022 / 2557(“CER指令”)。7(9)NIS 2指令取代了EECC下的相应规定，网络和服务的安全及其实施和执行(文章40和41 EECC)授权成员国采取与维持 公开的公共核心的一般可用性、完整性和保密性互联网，包括相关的潜艇通信的网络安全电缆。根据NIS 2指令第23条，影响潜艇的事件通信电缆应报告给相关的计算机安全事件响应团队（“CSIRT ”）或主管当局。国家网络安全战略会员国应酌情考虑到海底通信电缆，包括潜在网络安全的映射风险和缓解措施，以确保最高级别的保护。 (10) CER指令旨在确保维持至关重要的服务社会职能或经济活动以畅通无阻的方式提供该指令涵盖的11个部门的内部市场。这包括增强提供此类服务的关键实体的物理弹性。CER指令涵盖了数字基础设施部门在识别关键这一部门的实体，通过国家战略，会员国风险评估和会员国对其确定为critical. (11)欧盟海上安全战略8突出显示了增加的攻击风险针对关键海事基础设施的恶意行为者，包括海底电缆，并提出行动，以加强此类基础设施的复原力和保护。 （12）正如关于欧盟安全执行情况的第六次进度报告所强调的那样联盟战略，欧盟已经在关键的一切方面提供了具有里程碑意义的立法实体保护以增强网络弹性。然而，与此同时，欧洲和我们周边地区的安全威胁形势继续演变，说明需要持续保持警惕和高度准备面对在线和离线关键基础设施的安全面临新的挑战。 (13)本建议旨在促进欧盟层面的协同作用，目标是增加海底电缆基础设施的安全性和弹性。它建议采取具体行动评估和改善欧盟及其成员国关于现有和新海底电缆基础设施，以及对联合部署或通过欧洲感兴趣的电缆项目对此类基础设施进行重大升级(‘CPEI’). (14)海底电缆基础设施不仅包括电缆，还包括任何基础设施与他们的建造、运营、维护和修理有关，如着陆站和连接到它们的海底电缆的地面部分(例如，陆地从海滩沙井到登陆站、数据中心或存在点的路线)、维修中心，以及部署、维护和修理船只的船队。 （15）委员会正在设立海底电缆基础设施非正式专家集团，在2016年5月30日第C (2016) 3301号委员会决定的含义中，9由会员国当局(“专家组”)组成，提供咨询和向委员会提供与本建议后续行动有关的专门知识特别是在以下方面： 促进会员国之间快速有效的信息交流，委员会和外部行动处，通过保持密切联系在海底电缆基础设施的安全性和弹性问题之间作为他们的资金和融资； ––在欧盟一级绘制现有海底电缆基础设施的地图，基于国家测绘工作，并保持最新，至少每年基础；––审查制图和国家风险评估，以确定缺失信息；提出完善缺失信息的措施和方法将额外信息与现有评估合并，建立全联盟风险、漏洞和依赖关系评估的基线；–对风险、脆弱性进行实际的全联盟综合评估以及对海底电缆基础设施的依赖性，这应该导致提出建议缓解措施；–––提出符合本文件所列标准的战略CPEI清单草案建议；提供一个论坛，以协调的方式在多边和多利益相关方论坛；讨论采用和部署创新解决方案的可能性检测和阻止对海底电缆基础设施的威胁，特别是基于结果欧盟资助的项目，以及–开发海底电缆的维护和修理能力。 (16)专家组将召集必要的专家，并作为一个安全的平台会员国之间的协调，并向会员国提供咨询和援助委员会补充NIS合作组织的作用和任务由NIS 2指令设立的集团和由CER设立的CER集团指示。专家组应促进快速有效的信息成员国与委员会就属于本建议的范围。为了保持事项之间的密切联系海底电缆基础设施的安全性和弹性，以及它们的资金和融资，专家组内的会员国应定期咨询、更新并酌情与NIS合作小组和CER密切合作集团，联盟资助计划的成员国委员会，来自第三国，公共发展和金融机构，行业代表，和其他利益相关者。这种合作将在所涉及的团体、委员会和当局各自的任务。联盟资助计划委员会的咨询以及公众发展和金融机构将特别旨在收获协同作用以及汇集资金和融资。信息应该是在适当的保密级别交换。 （17）鉴于实现高水平的网络安全和人身安全的重要性海底电缆基础设施，无论其所有者如何，本建议邀请成员国采取措施，确保海底电缆基础设施运营商符合最高安全标准(包括国防级标准，在适当的情况下)。 （18）为了实现潜艇的高度网络安全和物理安全电缆基础设施，应鼓励会员国收集相关信息10来自企业的代表性组织，或如有必要，来自在其管辖范围内的个人事业。此信息应用于建立、完成和更新国家海底电缆基础设施地图所有有关会员国。任何信息收集或交流都应保护该信息的机密性，保护安全和有关实体的商业利益。 (19)作为制定全联盟综合评估的重要步骤，影响海底电缆的风险、漏洞和依赖性评估基础设施应在国家一级进行和完成。这应该采取作为起点，考虑到现有的欧盟范围内的风险评估和评估，特别是那些在“永不呼吁”之后进行的，安理会关于欧盟网络态势的发展以及-对于5G网络的网络安全-遵循委员会建议(EU) 2019 / 534。国家评估应包括对现有和计划中的基础设施的映射。会员国应进一步加强敏感供应商和运营商的国家义务实施NIS 2指令时的基础设施部分。 (20)为了加强防范，并为未来的协调风险提供投入在联盟一级的评估中，应鼓励会员国建立实体操作受定期压力测试的海底电缆基础设施。此类压力测试将有助于评估实体在不同情况下的弹性。 (21)必要时应考虑海底电缆基础设施尽快建立、升级和维护，同时保持将行政负担降至最低。因此，会员国应鼓励处理与规划、收购、建设、在线运营、维护和维修此类基础设施，速度可达可能。应使会员国意识到任命一个促进和协调许可证发放过程的权力。这个机构可以任命一名协调员，作为项目的单一联系点。此外，在必要时根据理事会指令给予减损92/43/EEC11指令2000 / 60 / EC12欧洲议会和理事会这些项目的规划、采购、建设、运营、维护和维修基础设施应被认为是压倒一切的公共利益这些指令的含义，前提是中规定的其他剩余条件Those provisions are fulnished. This is without influence to the applicability or执行其他联盟环境法。 （22）应鼓励会员国合作发展维护和修理海底电缆基础设施的能力。 （23）应认为有必要补充正在进行和计划中的风险评估关于支撑数字服务的数字和物理基础设施关于潜艇的具体风险评估和缓解措施的选择 电缆基础设施。专家组将被要求协助委员会与NIS合作小组和CER小组密切合作，并支持ENISA在进行全联盟风险综合评估时，漏洞和依赖关系涵盖网络安全和物理海底电缆基础设施及其供应链的安全性。这巩固了评估可以基于所进行的风险评估的结果，特别是关于潜艇网络安全和物理安全的国家风险评估电缆基础设施及其供应链，以及“Nevers ”背景下的电缆基础设施及其供应链呼吁'和理事会关于欧盟网络态势和发展的结论适用于符合委员会建议(EU) 2019 / 534的5G网络。综合评估可能会导致在国家和/或联盟级别，包括拟议的缓解措施。 (24)作为第一步，专家组可以协助委员会审查风险评估，以识别缺失的信息，防止在全联盟范围内对风险、漏洞和依赖性进行综合评估特别是高风险供应商，并审查现有和计划的映射在国家一级开展的海底电缆基础设施(包括地点，电缆基础设施的容量、技术特性和所有权)以及物理层和逻辑层之间的相互作用。专家组可以协助委员会在欧盟层面绘制现有海底电缆基础设施，根据国家测绘工作，并保持最新，至少在year basis. The review should account for interrelations with other critical基础设施，特别是电缆，天然气管道和海上可再生能源能源设施，以及其他电信基础设施。13Non-敏感映射信息可与相关基础设施信息共享要点，例如在宽带成本降低指令(指令2014 / 61 / EU）和未来的《千兆基础设施法》。 (25)第二步，鼓励专家组提出措施，以完成缺失的信息和一种方法，以巩固额外的信息现有评估，为全联盟评估风险、漏洞和依赖关系。 (26)第三步，鼓励专家组使用进行实际合并的全联盟映射的上一步海底电缆基础设施和风险、脆弱性和风险评估对海底电缆基础设施的依赖，尤其是对高风险供应商的依赖。评估应包括缓解措施的建议，包括哪些风险，漏洞和依赖关系可以通过电缆项目解决欧洲利益根据本建议填补战略空白和建立新的连接，以增加弹性并最小化风险。这一步还将包括对协调压力测试的考虑，例如，关于响应和修复时间以及事件响应和修复的组织能力，跨越军民和国家区域边界。 (2