Potrivit principiului necesității de a cunoaște, Curții de Conturi Europene trebuie să i se acorde accesul la informații clasificate, spre a-și desfășura sarcinile încredințate prin tratate și acte juridice adoptate în temeiul acestora. Gestionarea informațiilor clasificate ale UE necesită respectarea unor obligații de confidențialitate specifice. Aceste obligații sunt garantate prin implementarea unor măsuri de securitate adecvate, care asigură un nivel înalt de protecție acestor informații. Măsurile de securitate în cauză sunt echivalente cu cele stabilite prin normele adoptate de alte instituții, agenții și organe din UE. În acest context, importanța securității cibernetice, în ceea ce privește activitatea recentă a ECA, este una aparte.

Criza generată de pandemia COVID-19 a condus la o creștere semnificativă a infracționalității informatice și a atacurilor cibernetice. Gestionarea vulnerabilităților în această privință s-a confruntat cu unele dintre cele mai importante provocări. Au existat o serie de amenințări care au necesitat intervenții rapide din partea echipelor de IT pentru a remedia probleme critice ale software-ului. În mod evident, Centrul interinstitutional de răspuns la incidente de securitate cibernetică (CERT-UE) a fost implicat în aceste acțiuni. Implementarea planului de securitate cibernetică pentru perioada 2022-2024 a început cu un număr semnificativ de inițiative. Cu sprijinul CERT-UE, s-a dezvoltat un plan pentru adoptarea unui model de securitate bazat pe încredere zero (Zero Trust), care reprezintă unul dintre principiile importante ale programului de securitate cibernetică.

Prima implementare a acestei abordări este noua platformă de acces de la distanță, care înlocuiește soluția VPN. În 2022, au avut loc mai multe campanii de phishing, inclusiv o campanie care a atras un număr însemnat instituții. Efectele s-au observat imediat: numărul angajaților care au identificat și raportat mesajele de phishing a crescut. Recent, CERT-UE a organizat o sesiune specială pentru conducerea de nivel superior a ECA, venind cu informări vizând situația actuală a amenințărilor și prioritățile strategice care trebuie abordate (https://www.eca.europa.eu/ECAPublications/AAR-2022/AAR-2022_RO.pdf). Totodată, la nivelul ECA s-a aprobat o nouă politică referitoare la gestionarea și auditul fișierelor-jurnal. Scopul acesteia este de a oferi utilizatorilor asigurări și de a asigura transparența în privința utilizării auditului de sistem și a datelor de jurnalizare.

ECA a fost implicată activ în elaborarea noilor norme interinstituționale în domeniul securității cibernetice și a început deja să aplice câteva dintre acestea. În ceea ce privește securitatea informațiilor după izbucnirea pandemiei de Covid-19. (https://www.eca.europa.eu/Lists/ECADocuments/AAR21/AAR21_RO.pdf), dat fiind că angajații ECA au rămas conectați un timp relativ îndelungat la dispozitivele lor, securitatea cibernetică a devenit extrem de importantă. În urma adoptării noii politici a instituției referitoare la clasificarea informațiilor, s-au dezvoltat orientări privind clasificarea informațiilor ECA, inclusiv modalități de acces la aceste informații prin intermediul unei platforme interne de partajare. De asemenea, a fost aprobată Decizia 41-2021 care stabilește normele de securitate pentru protejarea informațiilor UE clasificate. (https://www.eca.europa.eu/Lists/ECADocuments/Decision_41-2021/ECA-decision-41_2021_RO.pdf). Prin aceasta sunt stabilite principiile de bază și standardele minime de securitate pentru a proteja informațiile clasificate gestionate de ECA în exercitarea sarcinilor sale legale.

Măsurile de securitate fizică sunt concepute pentru a preveni accesul clandestin sau forțat al oricărui intrus, spre a descuraja, preveni și detecta acțiunile neautorizate și pentru a asigura o distincție clară între membrii personalului în ceea ce privește accesul la informațiile clasificate. În mod cert, toate acestea au la bază principiul necesității de a cunoaște. În fine, restrângându-ne la principalele rezultate ale perioadei recente, trebuie relevate cel puțin trei dintre acestea. Respectiv, primele două campanii de phishing simulate de ECA pentru a măsura gradul de sensibilizare a utilizatorilor în domeniul cibernetic, dar și adoptarea EU Sign, ca soluție oficială de semnătură electronică pentru ECA. Fără rezerve, se poate considera că merită inclusă aici și recenta instalare a instrumentului de protecție a repertoriilor și fișierelor sensibile.