Tagliaretti predvodi instituciju čija je misija jačati europsku otpornost, financirati istraživanja te poticati suradnju između država članica, javnog i privatnog sektora.

Direktiva NIS2 je ključan zakonodavni akt koji značajno proširuje opseg obaveza subjekata i povećava zahtjeve za kibernetičku sigurnost. Koji su, po vašem mišljenju, glavni izazovi s kojima se države članice EU-a trenutačno suočavaju u njezinoj provedbi?

Glavni izazov za države članice i za tvrtke koje podliježu regulativi NIS2 je kulturna promjena, a ona je potrebna da bi se kibernetička sigurnost promatrala kao strateška tema, ne samo kao tehničko pitanje. Ta kulturna promjena mora obuhvatiti sve zaposlenike te zahtijeva ulaganja, obuku i podizanje svijesti. Dodatni izazov predstavlja činjenica da se direktiva provodi na donekle različite načine diljem Europe. Za tvrtke koje posluju u više država članica to znači da moraju imati različite obrasce za izvješćivanje i surađivati s različitim nacionalnim tijelima. U tom kontekstu veća usklađenost provedbe na razini jedinstvenog tržišta pomogla bi i tvrtkama i državama članicama.

Cilj NIS2-a je ojačati kibernetičku sigurnost u cijeloj Uniji uspostavom visokog zajedničkog standarda sigurnosti mrežnih i informacijskih sustava u tvrtkama i organizacijama. Ova direktiva, koja povećava razinu ambicije u području kibernetičke sigurnosti zahvaljujući širem opsegu i snažnijim nadzornim mehanizmima, nedvojbeno predstavlja izazov nacionalnim tijelima u provedbi. Ipak, jednom kada bude provedena, smanjit će digitalne praznine umjesto da ih produbi.

Ona će osigurati temeljni standard u različitim sektorima i državama članicama, što će koristiti cijelom društvu. Time će se povećati ukupna kibernetička otpornost naših kritičnih infrastruktura i, u konačnici, zaštita ključne usluge potrebne za funkcioniranje društva. U tom smislu ECCC podupire integraciju zahtjeva za kibernetičku sigurnost koji proizlaze iz više regulativa i direktiva, uključujući NIS2, posebnim mogućnostima sufinanciranja za sektore poput prometa i telekomunikacija.

Kako ECCC podržava države članice u usklađivanju njihovih provedbenih napora, osobito one s ograničenim kapacitetima ili tehničkim resursima? Koji su ključni programi financiranja EU-a trenutačno dostupni u području kibernetičke sigurnosti i kako im organizacije – osobito mala i srednja poduzeća – mogu najlakše pristupiti?

ECCC na raspolaganju ima dva glavna izvora financiranja za potporu subjektima diljem EU-a u području kibernetičke sigurnosti. Prvi je program Digitalna Europa, a to je poseban instrument za poticanje primjene tehnologija, uključujući provedbu regulativa. Prvi radni program ECCC-a za Digitalnu Europu objavljen je početkom ove godine i definira investicijsku mapu za sljedeće tri godine, s proračunom od 390 milijuna eura.

Prioriteti za iduće tri godine obuhvaćaju nove tehnologije za kibernetičku sigurnost, uključujući područja umjetne inteligencije i tranzicije na postkvantne sustave, kao i aktivnosti za jačanje kibernetičke otpornosti EU-a i potporu malim i srednjim poduzećima (MSP). Stopa sufinanciranja za MSP-ove osobito je povoljna i može doseći do 75 posto. Drugi izvor financiranja je program Obzor Europa, u okviru kojeg ECCC koordinira i provodi sve natječaje vezane uz kibernetičku sigurnost. Očekujemo oko 270-300 milijuna eura, a uglavnom će biti namijenjeni istraživačko-razvojnim projektima i inovacijama.

Koliko je važno osigurati da se potpora ne usmjerava isključivo na tehnologiju, nego i na ljude – obrazovanje, zapošljavanje i zadržavanje stručnjaka za kibernetičku sigurnost u Europi?

Ulaganje u vještine i radnu snagu za kibernetičku sigurnost kolektivni je napor te želim naglasiti da i drugi europski akteri imaju ključne uloge u tome: Agencija EU-a za kibernetičku sigurnost (ENISA), Europska komisija i nacionalna tijela poput Nacionalnog koordinacijskog centra. Prema posljednjim podacima, Uniji je potrebno između 260.000 i 500.000 stručnjaka za kibernetičku sigurnost da bi naša ekonomija ostala konkurentna, no najnovije Eurobarometrovo istraživanje također ističe sve veći manjak kibernetičkih vještina. U tom kontekstu posebno pozdravljam inicijative poput Europskog okvira za vještine u kibernetičkoj sigurnosti (ECSF), a razvila ga je ENISA.

To je praktičan alat koji podržava identifikaciju i definiranje zadataka, kompetencija, vještina i znanja povezanih s ulogama europskih stručnjaka za kibernetičku sigurnost. ECSF je referentna točka EU-a za definiranje i procjenu relevantnih vještina u okviru inicijative Akademije za vještine u kibernetičkoj sigurnosti. Manjak stručnjaka u kibernetičkoj sigurnosti stalno je promjenjiva meta. Dok zatvaramo jedan jaz, pojavljuju se novi, primjerice u područjima umjetne inteligencije ili kvantnog računalstva.

Draghijevo izvješće, primjerice, poziva na prilagodbu obrazovanja i obuke trenutnim i budućim potrebama za vještinama, uz uključivanje poslodavaca i ostalih dionika. Resursi su nam odmah potrebni, no ono što radimo zahtijeva vrijeme: prekvalifikaciju, promjene karijernog puta itd. Izvješće također poziva na bolje usmjeravanje financiranja te jačanje odgovornosti i procjene učinka.

Kako biste ocijenili trenutačnu suradnju između ECCC-a i hrvatskog Nacionalnog koordinacijskog centra (NCC-HR)? Postoje li konkretni zajednički projekti ili inicijative u pripremi?

Suradnja između ECCC-a i mreže nacionalnih koordinacijskih centara (NCC) u Uniji općenito je ključna za jačanje europskog vodstva i strateške autonomije u području kibernetičke sigurnosti. Hrvatski Nacionalni koordinacijski centar (NCC-HR) djeluje kao prva kontaktna točka za inovacije u području kibernetičke sigurnosti te pruža informacije i podršku nacionalnoj kibernetičkoj zajednici u pristupu fondovima, čime jača nacionalne kapacitete i otpornost u kibernetičkoj sigurnosti.

NCC-HR je jedan od naših najdinamičnijih i najangažiranijih partnera te vrlo aktivno podržava nacionalnu kibernetičku zajednicu. Nacionalna konferencija o kibernetičkoj sigurnosti, održana 28. i 29. svibnja, primjer je takvih nastojanja. Jedna od ključnih aktivnosti NCC-HR-a je financijska potpora trećim stranama, a omogućava hrvatskim tvrtkama i drugim ključnim dionicima da koriste male potpore za jačanje znanja, infrastrukture i procesa u području kibernetičke sigurnosti.

Smatrate li nacionalne centre primarno provedbenim tijelima politika EU-a ili strateškim partnerima u oblikovanju buduće europske politike kibernetičke sigurnosti?

Nacionalni koordinacijski centri imaju obje uloge. Oni daju važne strateške povratne informacije iz lokalnih ekosustava u oblikovanju politika i određivanju prioriteta, a istovremeno podupiru provedbu dogovorenih politika EU-a. NCC-ovi su pokretačka snaga u izgradnji snažnog europskog ekosustava za kibernetičku sigurnost. Duboko vjerujem u snagu mreže u cjelini i svakog pojedinačnog NCC-a – oni najbolje poznaju nacionalni kontekst, cyber zajednicu te izazove i prilike na svom području. Primjerice, nedavno usvojeni radni program za Digitalnu Europu u području kibernetičke sigurnosti oblikovan je opsežnim konzultacijama s državama članicama, a one su se odrazile na investicijske prioritete.

Kako biste ocijenili trenutačnu razinu kibernetičke otpornosti u Europskoj uniji – jesmo li kao zajednica spremni na više koordinirane i sofisticirane valove kibernetičkih prijetnji? Postoje li specifični sektori (npr. zdravstvo, energetika, obrazovanje) koji su trenutačno ranjiviji i kako ih EU prioritetno štiti?

Povećanje pripravnosti EU-a i postizanje veće kibernetičke otpornosti temelj je naših aktivnosti. Zajedno postajemo otporniji i bolje pripremljeni za suočavanje s kibernetičkim napadima. Prema trenutačnom pregledu prijetnji, koji je sastavila ENISA, ucjenjivački softver (ransomware) je najčešći oblik napada, slijede zlonamjerni softver (malware) i phishing, a osobito je porastao razvojem AI alata. Ti napadi primarno su usmjereni na javnu upravu i kritičnu infrastrukturu. Posebno je ranjiv zdravstveni sektor u Uniji.

U tom kontekstu ECCC provodi pilot-inicijativu, vrijednu 30 milijuna eura, u zdravstvenom sektoru, a ona započinje analizom postojećih kibernetičkih praznina i potom uključuje mjere za jačanje otpornosti, poput SOC-ova prilagođenih bolnicama. Druge inicijative bavit će se kritičnim sektorima poput prometa i telekomunikacija.

Koji su sljedeći koraci u jačanju europskog suvereniteta u području kibernetičke sigurnosti – možemo li jednog dana vidjeti razvoj pravog europskog 'kibernetičkog štita'?

Rad na razvoju europskog 'kibernetičkog štita' već je u tijeku. Ovdje bih spomenuo Europski akt o kibernetičkoj solidarnosti, a on uključuje stvaranje europskog sustava za uzbunjivanje radi poboljšanja otkrivanja, analize i odgovora na kibernetičke prijetnje.

Taj će sustav činiti nacionalni i prekogranični kibernetički centri, prethodno poznati kao centri za sigurnosne operacije (SOC), financirani sredstvima ECCC-a. Trenutačno su u različitim fazama razvoja tri prekogranična centra koja će povezati većinu država članica putem nacionalnih centara. Jednom kada budu završeni i povezani, mreža nacionalnih i prekograničnih centara bit će prvi primjer umreženih SOC-ova u svijetu. Oni će biti ključni za koordiniranu zaštitu kritične infrastrukture.

Kako ECCC vidi svoju ulogu u sve više geopolitički nabijenom kibernetičkom okruženju, s naglaskom na ublažavanje rizika? Koji je vaš prioritet kao izvršnog direktora ECCC-a u sljedećih 12 mjeseci?

Trenutačna geopolitička situacija čini još važnijim postizanje cilja tehnološkog suvereniteta Europe. ECCC je osnovan s ambicioznim ciljem da podrži te napore, promiče konkurentnost tvrtki iz EU-a i potiče inovacije. Suradnja s velikim gospodarskim partnerima važna je i treba se nastaviti na području ključnih tehnologija, no sredstva iz programa Digitalna Europa trebaju ostati namijenjena državama članicama, u skladu s njegovom regulativom.

Prioriteti ECCC-a za 2025. odnose se na dovršetak izgradnje europske kibernetičke zajednice putem inicijative ATLAS i provedbu odobrenog radnog programa, a on uključuje gotovo 200 tekućih projekata i dodatnih 150 milijuna eura ulaganja samo ove godine.