Threats and challenges around European cyber security cooperation in the context of the European Union directive on security of network and information systems

Abstract

Tämä tutkielma käsittelee Euroopan Unionin (EU) verkko- ja tietojärjestelmien turvallisuusdirektiiviä (NIS-direktiivi), EU:n tällä hetkellä tai tulevaisuudessa kohtaamia uhkia sekä haasteita, joita eurooppalaiseen, NIS-direktiiviin pohjautuvaan kyberturvallisuusyhteistyöhön liittyy. Tutkimus tehtiin kvalitatiivisena tutkimuksena, pragmaattisella maailmankuvalla ja tapaustutkimuksena. Tutkimuksen tarkoituksena oli selvittää tämän hetken eurooppalaisen kyberturvallisuusyhteistyön kuvaa. Näin ollen, tutkimus keskittyi (i) löytämään potentiaaliset uhkat, (ii) selvittää EU:n tavoitteet direktiiville sekä (iii) käsitellä esiintuotuja yhteistyön haasteita. Tutkimuksen tulokset osoittivat, että uhkakuva on alati laajentuva ja kehittyvä, johon NIS- direktiiviä tarvitaan turvaamaan eurooppalainen digitaalinen markkinapaikka (Digital Single Market). EU:n tavoitteena on varmistaa yhteinen korkeatasoinen verkko- ja tietojärjestelmien turvallisuus koko unionissa. Kriittinen infrastruktuuri täytyy suojata niin julkisella kuin yksityisellä puolella. Tämä koskettaa keskeisten palvelujen tarjoajia (KPT) ja digitaalisten palvelujen tarjoajia (DPT). Yhteistyön ympärillä on haasteita, kuten vaihtelevat lähestymistavat, erilainen maturiteettitaso, luottamuksen puute, poikkeamien raportointi ei ole riittävän selkeää, KPT:t ja DPT:t määritellään eri tavoin koko unionissa, direktiivin noudattamisen velvoitteet ja siitä seuraavat sanktiot vaihtelevat sekä joitakin tietoturvan kannalta merkittäviä puolia on jätetty direktiivin ulkopuolelle. Haasteista huolimatta direktiivi on tarpeellinen, jotta tulevaisuuden uhkia vastaan voidaan jäsenmaita puolustaa.

This thesis discusses of the European Union (EU) Directive on Security of Network and Information Systems (NIS Directive), threats of cyber space that the EU embrace or would have to overcome in the future, and challenges around European cyber security cooperation in accordance with the NIS Directive. The research was conducted with qualitative research design, pragmatic worldview, and the desired strategy of inquiry was a case study. Purpose of the research was to provide a view on the current state of European cyber security cooperation. Thereby, the research was focused onto (i) find out what potential threats there are, (ii) what are the EU’s objectives of the NIS Directive, and (iii) what challenges are enunciated of the cooperation. Results indicated that threat landscape is broad and evolving where the NIS Directive is required to safeguard European Digital Single Market. Objective of the NIS Directive is to boost and reach a high common level of security of network and information systems across the EU. Critical infrastructure must be secured against threats, both on public and private sector. This concerns Operators of Essential Services (OES) and Digital Service Providers (DSPs). There are challenges around the cooperation, such as varying approaches, different maturity level, lack of trust, incident reporting is not clear enough, OES and DSPs are differently identified across the EU, compliance and sanctions vary, and some elements are left out of scope of the NIS Directive. Despite the challenges, the NIS Directive is needed in defending Member States against future threats.