网络安全技能学院的交流

欧洲人委员会 斯特拉斯堡，18.4. 2023 COM(2023)207final 委员会与欧洲的沟通 议会和理事会 缩小网络安全人才缺口，以提高欧盟的竞争力、增长和 弹性 （“网络安全技能学院”） ENEN 缩小网络安全人才缺口，以提高欧盟的竞争力、增长和 弹性 （“网络安全技能学院”） 1.迫切需要通过解决网络安全技能短缺和 gaps 网络安全不仅是公民，企业和会员国安全的一部分。它也是有必要确保欧盟的政治稳定、民主国家的稳定和 我们社会和企业的繁荣。网络安全威胁景观已经进化 在过去的几年中，随着令人担忧的趋势，越来越多的网络攻击瞄准欧盟的军事和民用关键基础设施。威胁行为者增加了他们的能力和新颖的、混合的和新兴的威胁，例如使用机器人和技术 基于人工智能，正在涌现1。值得注意的是，勒索软件威胁行为者是 经常对实体造成相当大的财务和声誉损失。2 大量的网络安全事件也针对公共管理和 成员国政府，以及欧洲机构、机构和机构 （EUIBA）3。金融4和健康5部门，都是社会和经济的骨干，也一直是目标6。与俄罗斯战争有关的地缘政治紧张局势 对乌克兰的侵略增加了网络安全威胁7，并有可能破坏我们社会的稳定。安全没有欧盟的保证EU’s最宝贵的资产：人民。欧盟迫切需要具有技能和 预防、发现、阻止和捍卫欧盟的能力，包括其最关键的能力基础设施，抵御网络攻击，并确保其弹性. 网络安全人才缺口进一步阻碍了欧洲的竞争力and增长,which 在很大程度上依赖于战略数字技术的发展和吸收(例如人工智能、5G和云）。欧盟需要熟练的网络安全劳动力 保持在全球范围内提供关键先进技术的位置。 为了准备并面对这种不断变化的威胁格局，并培养欧盟的竞争力，欧盟网络安全政策在过去几年取得了重大进展，导致 1ENISA威胁格局2022-ENISA（europa.eu） 2EuropolInternetOrganisedCrimeThreatAssessment(IOCTA)2021.SuchactorsbuildonthemodelofRansomware-as-a- 服务。2022年，企业的年度成本超过184亿欧元(Cybereason2022年真实成本或勒索软件）。 3例如，见ENISA和CERT-EU的联合出版物，JP-23-01-特定威胁行为者的持续活动， TLP：CLEAR，2023年2月15日。 4例如，在德国，从2021年6月1日至2022年5月31日报告的90%的邮件欺诈是金融网络钓鱼，或 对金融部门一家公司的攻击，涉及来自125个国家的20,000多个受感染的设备， 2022年德国IT安全状况，BundesamtfürSicherheitinderInformationstechnik(BSI)，2023年1月1日 5例如，在法国，勒索软件对公共医疗设施的攻击，例如对Sud医院中心的攻击 Francilien，在此期间，11GB的个人和医疗数据以及与员工相关的数据遭到破坏，由威胁演员出版，2022年网络威胁全景，国家安全机构 d'information(ANSSI),janvier2023 6ENISA威胁景观2022 7另请参阅：CERT-EU-俄罗斯对乌克兰的战争：一年的网络运营（europa.eu）；俄罗斯的网络运营针对乌克兰：高级代表以欧洲联盟的名义发表的宣言，2022年5月10日； 欧盟代表就黑客及黑客组织进行的恶意网络活动发表声明。集团在俄罗斯侵略乌克兰的背景下，2022年7月19日。 通过了一系列举措，如欧盟的数字网络安全战略 Decade8，修订后的网络和信息安全指令（NIS2指令）9，欧盟部门网络安全立法10、欧盟网络防御政策11、网络弹性 Act12和委员会提出的《网络团结法》 沟通。但是如果没有必要的技术人员来实现它们，这些立法将无法实现其目标。而网络安全的基本知识 一般人口是作为支持发展 参与社会所需的一般技能13，一个称职的劳动力在这两个方面都是至关重要的公共和私营部门，在国家和欧盟层面，包括标准化组织， 实现这些网络安全法律和政策要求。 因此，欧盟的安全和竞争力取决于拥有专业技术 网络安全劳动力。然而，欧盟面临着非常大量的技术短缺网络安全专业人士，这将欧盟，其成员国，其企业和公民 面临网络安全事件的风险。2022年，网络安全专业人员短缺欧盟范围在260,000之间14and500,00015，而欧盟的网络安全 劳动力需求估计为883,000名专业人员16，表明存在错位在可用的能力和劳动力市场所需的能力之间。The 网络安全劳动力进一步遭受与其技术相关的误解形象，并继续未能吸引妇女，占网络安全的20% 毕业生17至19％的信息和通信技术（ICT）专家18至解决这个问题，欧洲的2030年数字十年政策方案19设定了目标到2030年，ICT专业人员数量增加2000万，同时实现性别融合。此外，实施新兴的欧盟政策需要充分 熟练且足够的劳动力。例如，超过42%的高级IT领导者服务业强调缺乏网络安全技能和专业知识是一项关键挑战 欧盟在数字十年的网络安全战略与欧洲议会及理事会的联合通信 加入（2020）18决赛。 9欧洲议会和理事会2022年12月14日关于高 欧盟共同的网络安全水平，修订法规（EU）第910/2014号和指令（EU）2018/1972，并废除指令（EU）2016/1148（NIS2指令） 10例如，对于金融部门，欧洲议会和14国理事会的法规（EU）2022/2554 2022年12月，关于金融部门的数字运营弹性和修订法规（EC）No1060/2009， （EU）No648/2012，（EU）No600/2014，（EU）No909/2014和（EU）2016/1011（DORA法规） 11给欧洲议会和理事会的联合通讯，欧盟网络防御政策，JOIN(2022)49final 关于欧盟议会及理事会对于横向网络安全要求的法规提案建议 带有数字元素的产品和修订法规(EU)2019/1020,COM/2022/454final 针对全人群的一般数字技能相关举措中：80%的人口达到基础水平。 到2030年将数字技能作为欧洲社会权利行动计划和数字指南针的目标2021-2027年教育行动计划，数字能力框架工具，或理事会建议的提案关于改善教育和培训中数字技能的提供。 14(ISC)²在ECSF的基础上评估网络技能，ENISA网络研讨会，2023年2月16日 15根据欧洲网络安全组织（ECSO），如欧洲联合通讯所述 议会和理事会，欧盟网络防御政策，JOIN(2022)49final 16(ISC²)在ECSF的基础上评估网络技能，ENISA网络研讨会，2023年2月16日 17网络安全高等教育数据库（CyberHEAD） 18欧盟只有19％的ICT专家是女性数字经济和社会指数（DESI）2022|塑造欧洲 digitalfuture(europa.eu)。没有关于联盟女性网络安全劳动力的数字。 欧洲议会和理事会2022年12月14日第(EU)2022/2481号决定，建立数字 2030年十年政策方案，该方案建立了一个监测和合作机制，以实现共同 2030年数字指南针中规定的欧洲数字化转型的目标和指标，包括技能。 面对他们的业务，当涉及到网络安全防御和事件管理20时，他们需要实施部门网络安全立法的时候，如数字 运营弹性法案(DORA)。 雇主对人力资本投资犹豫不决，寻找已经受过训练和有经验的劳动力，进一步限制了劳动力市场21。这种短缺影响到所有公司类型，包括中小企业(SMEs)，代表 99％的所有业务在EU22。挑战也很高公共管理 这在很大程度上受到网络安全事件的打击和影响最大23。 因此，缩小欧盟网络安全专业人才缺口是当务之急，因为欧盟的安全和竞争力受到威胁。 2.缺乏协同作用和协调行动来缩小网络安全技能差距 公共和私营实体在欧洲和国家一级采取的举措，以解决 网络安全劳动力市场短缺正在蓬勃发展。然而，它们是分散的到目前为止，还没有达到临界质量来产生真正的影响。 首先，目前对欧盟组成的共识有限 网络安全劳动力和相关技能，而类似的网络安全工作概况 shouldentailthesamesetofskills.Thelowuptakebyrelevantactorsofacommon 欧洲网络安全专业人士参考框架转化为缺乏 雇主、教育工作者和政策制定者之间的沟通工具，以及进行衡量和评估网络安全劳动力市场的差距。它进一步阻碍了教育和培训课程的设计以及职业道路的创造 回应那些希望进入该行业的人的政策和市场需求。 提高技能和重新技能劳动力的数量广泛依赖网络安全培训和证书，通常由私人提供者提供。然而，劳动力面临困难了解所提供的网络安全培训的质量以及相关的 颁发的证书。 虽然教育和培训以及建立职业道路是必要的，以提高 劳动力市场的供应方，劳动力市场的作用需求方在培训其劳动力和 adaptationtoitsevolutioniscurrentlyunderstood.Industryandpublicemployerslack 共同论坛和场所，就如何最好地培训劳动力和解决如何 to更好地评估技能，尤其是在招聘过程中。最受欢迎的hard技能可能与网络安全有关24，例如软件开发或云计算25，but横向技能仍然不合理地忽视。批判性思维和分析， 解决问题和自我管理是更需要的技能群体 雇主26人，在202527年之前的领先优势正在上升。 20S-RM网络安全洞察报告2022。 21欧盟网络安全技能发展，ENISA，2019年12月 22中小企业定义(europa.eu) 23ENISA威胁格局2022-ENISA（europa.eu） 24LinkedIn2023年最受欢迎的技能：学习公司最需要的技能 25ISACA网络安全状况2022信息图 26例如CEDEFOP工具：Skills-OVATE|CEDEFOP（europa.eu） 27就业的未来报告，2020年10月，世界经济论坛 在网络安全技能方面已经存在许多公共和私人投资计划，随着欧盟广泛资金不同工具下的项目28。然而，持续的短缺 欧盟的技能对其知名度和影响力提出了质疑，并建议它们可能无法系统地满足市场的需求，这迫切需要 映射在欧盟一级。此外，几个资金来源导致重复，错过了扩大规模并产生真正影响的机会。此外，那些需要投资的人不能总是为他们的需求找到最合适的来源。 利益相关者一直在努力解决短缺这一复杂而多方面的问题网络安全技能。欧盟网络安全机构(ENISA)一直在开发与角色简介或高等教育相关的工具29，欧洲网络安全能力中心（ECCC）30正在致力于解决网络安全技能欧洲安全与国防学院（ESDC）正在研究网络安全 在共同安全和安全框架内文职和军事劳动力的技能 国防政策31，私营组织正试图解决这个问题32，网络安全认证行业正在制定针对技能差距的路线图和培训33。 会员国还试图通过各种举措解决这一问题 从法规34到建立网络安全技能学院35或网络校园36，卓越网络犯罪中心37，或通过公私伙伴关系38。然而， 所有这些利益相关者的工作往往缺乏协调和协同作用，没有达到其不断增长的就业市场显示出在就业市场上产生实质性变化的潜力 欧盟网络安全劳动力短缺。增加跨网络的协同作用社区也需要作为维护网络安全、战斗的必要技能 网络犯罪或构建网络防御反应通常具有相似的性质。 最后，今天，欧盟评估国家和国家的演变 网络安全劳动力市场以及其员工队伍的技能。成员国和EUIBA依靠私人实体收集的数据或更广泛的欧盟收集的数据，特别是Eurostat39和欧洲职业培训发展中心 (CEDEFOP)40关于ICT专业人员。换句话说，欧盟有一个部分和支离破碎的 28例如：网络安全技能联盟-欧洲新愿景-REWIRE项目（由Erasmus+资助 计划)；支持网络安全能力中心的项目(ECHO，CONCORDIA，CyberSec4Europe， SPARTA（由Horizon20