Innehållsförteckning
- Introduktion
1.1 Målgrupp
1.2 Struktur på manualen - Att förstå ECSF
2.1 Designprinciper för ECSF
2.1.1 Enkel men omfattande
2.1.2 Flexibel och skalbar
2.1.3 Öppen och opartisk
2.1.4 Europeisk
2.2 De huvudsakliga fördelarna som ECSF erbjuder - Tillämpningar av ECSF
3.1 Anställa cybersäkerhetsprofessionella – tillämpa ECSF som en organisation
3.2 Utbilda cybersäkerhetsprofessionella – tillämpa ECSF som en utbildningsleverantör
3.3 Göra egna karriärval – tillämpa ECSF som en individuell professionell
3.4 Bygga cybersäkerhetsgemenskaper – tillämpa ECSF som en professionell förening
3.5 Strategiskt stärka sektorn – tillämpa ECSF som en policymakare - Termer och definitioner
- Referenser
A Bilaga: Koppla ECSF till andra EU-standarder och ramar
A.1 EN16234-1 E-CF En gemensam europeisk referensram för IKT-professionella i alla sektorer
A.2 Europeiska IKT-professionella rollprofiler
A.3 Europeisk kvalifikationsram
A.4 ESCO – Europeisk klassificering av färdigheter, kompetenser och yrken - B Bilaga: Användningsfall
B.1 Användningsfall från CONCORDIA H2020-projektet
B.2 Användningsfall från SPARTA H2020-projektet
B.3 Användningsfall från INCIBE
B.4 Användningsfall från Europeiska cybersäkerhetsorganisationen (ECSO)
B.5 Användningsfall från ISC2
B.6 Användningsfall från ISACA
B.7 Användningsfall från SANS/GIAC
Sammanfattning
Brister i arbetskraften och kompetensgap inom cybersäkerhet är en stor oro både för ekonomisk utveckling och nationell säkerhet. Genom att undersöka problemet identifierade ENISA Europas behov av en omfattande strategi för att definiera en uppsättning roller och färdigheter inom cybersäkerhet som kan utnyttjas för att minska bristen och kompetensgapet. ENISA har arbetat med utvecklingen av ett sådant ramverk och presenterar det Europeiska Cybersäkerhetskompetensramverket (ECSF), som syftar till att stärka den europeiska cybersäkerhetskulturen genom att tillhandahålla ett gemensamt europeiskt språk över gemenskaper, och tar ett viktigt steg framåt mot Europas digitala framtid.
ECSF tillhandahåller ett praktiskt verktyg för att stödja identifiering och formulering av uppgifter, kompetenser, färdigheter och kunskap associerade med roller för europeiska cybersäkerhetsprofessionella. Huvudsyftet med ramverket är att skapa en gemensam förståelse mellan individer, arbetsgivare och leverantörer av utbildningsprogram över hela EU, vilket gör det till ett värdefullt verktyg för att överbrygga klyftan mellan cybersäkerhetsprofessionell arbetsplats och lärmiljöer.
Ramverket beskriver de viktigaste kraven för en professionell cybersäkerhetsarbetsplats genom att definiera en uppsättning av 12 typiska professionella cybersäkerhetsroller. Dessa profiler ger en gemensam förståelse för de viktigaste cybersäkerhetsuppdragen, uppgifterna och färdigheterna som behövs i en professionell cybersäkerhetskontext, vilket gör det till en perfekt referens för profilering av färdigheter och kunskaper som behövs av cybersäkerhetsprofessionella. Ramverket är utformat för att vara lättförståeligt och tillräckligt omfattande för att ge lämpliga insikter i cybersäkerhet, samt tillräckligt flexibelt för att tillåta anpassning baserat på varje användares behov. Genom att inkludera alla intressenters perspektiv är ramverket tillämpligt på alla typer av organisationer och stöder utvecklingen av alla cybersäkerhetsprofessioner.
ECSF är resultatet av arbete som utförts av ENISAs ad hoc-arbetsgrupp för det Europeiska Cybersäkerhetskompetensramverket, som bildades av experter som representerar olika synpunkter. Det utvecklade ramverket bygger på en analys av befintliga ramverk, resultaten och fynden från marknadsbehovsforskning och överenskommelse bland experter. Användningsfallsstudier och indikativa exempel, inspirerade av olika arbets- och lärmiljöer, demonstrerar den praktiska implementeringen av detta ramverk och stöder detta arbete.
De huvudsakliga fördelarna med att använda ECSF visade sig vara:
- säkerställande av en gemensam terminologi och delad förståelse avseende cybersäkerhetsprofessionella över hela EU;
- identifiering av den kritiska kompetensuppsättningen som krävs ur perspektivet av cybersäkerhetsarbetskraften för att stödja dess vidare utveckling och förbättring;
- främjande av harmonisering inom cybersäkerhetsutbildning, träning och arbetskraftsutvecklingsprogram.
Denna användarmanual för ECSF ger en omfattande översikt över ECSF:s huvudsakliga omfattning, ramverkets principer och tillämpningsmöjligheter. Huvudsyftet med manualen är att göra ECSF lättillgänglig, förståelig och användbar för alla intressenter med en aktiv roll eller ett behov av lämpligt kvalificerade cybersäkerhetsprofessionella.
1. Introduktion
Brister i cybersäkerhetskompetens är en av de viktigaste utmaningarna som behöver adresseras för en cybertrygg Europeisk Union. Specifikt finns det en brist på kvalificerad och kompetent personal på arbetsmarknaden för att ta sig an roller inom cybersäkerhet och som kan hantera de utvecklande cyberhoten och de framväxande cybersäkerhetsutmaningarna på ett adekvat sätt. Kompetensgapet inom cybersäkerhet har flera underliggande orsaker. Dessa inkluderar en otillräcklig nivå av förståelse för de kompetenser och färdigheter som behövs inom cybersäkerhetsområdet mellan olika aktörer på marknaden för cybersäkerhetskompetens. Över åren har detta blivit ett väl dokumenterat problem, som fortsätter att påverka länder på både europeisk och internationell nivå avsevärt.
För att minska det nuvarande och framtida kompetensgapet och bristen behövs fler cybersäkerhetsprofessionella med lämpliga kompetensuppsättningar. I detta sammanhang spelar den Europeiska Kompetensagendan, Digitala Utbildningshandlingsplanen och Pakten för Färdigheter viktiga roller för att mobilisera intressenter att arbeta tillsammans mot målen för det Digitala Årtiondet genom att skapa fler och bättre möjligheter för utbildning.
I detta sammanhang lanserade ENISA en ad hoc-arbetsgrupp för det Europeiska Cybersäkerhetskompetensramverket i december 2020. En multidisciplinär grupp av experter samlades med målet att främja harmonisering av koncept för cybersäkerhetsutbildning, träning och arbetskraftsutveckling. Det utvecklade ramverket (ECSF) tillhandahåller ett öppet europeiskt verktyg för att bygga en gemensam förståelse för cybersäkerhetsprofessionellas rollprofiler och gemensamma kartläggningar med lämpliga kompetenser och färdigheter som krävs. Detta arbete utgör grunden för att samla krafter i ett kapacitetsbyggnadsprogram för den europeiska cybersäkerhetsarbetskraften i enlighet med pågående marknadsefterfrågan.
1.1 Målgrupp
Även om den ultimata omfattningen av ECSF-ramverkets innehåll är kärnprofessionella inom cybersäkerhet, läggs särskild vikt även vid målgrupperna icke-cybersäkerhetsexperter som behöver en omfattande översikt av disciplinen. Detta fokus gör ramverket lätt att förstå för alla berörda intressenter.
Målgruppen för ECSF är ledningsgrupper i organisationer, personalresurser (HR) och cybersäkerhetsfunktioner, cybersäkerhetsprofessionella, nybörjare och cybersäkerhetsentusiaster, samt leverantörer av utbildningsprogram av alla typer i offentliga och privata sammanhang, branschföreningar, marknadsforskare och politiska beslutsfattare.
1.2 Manualens Struktur
Användarmanualen är strukturerad enligt följande:
- Kapitel 1 introducerar de viktigaste utmaningarna som belyser behovet av att skapa ett ramverk för cybersäkerhetskompetens samt målgruppen för detta arbete.
- Kapitel 2 presenterar ECSF:s designprinciper samt de viktigaste fördelarna med att använda det.
- Kapitel 3 förklarar de olika tillämpningarna av ECSF från olika synvinklar.
Dessutom inkluderar dokumentet två bilagor som stödjer användarmanualen för ECSF och dess mål:
- Bilaga A kopplar ECSF till andra EU-standarder och ramverk. Syftet med denna bilaga är att koppla ECSF till befintliga erkända europeiska standarder och ramverk som är relevanta för detta arbete.
- Bilaga B listar användningsfall för ECSF. Syftet med denna bilaga är att tillhandahålla verkliga scenarier för att visa den praktiska implementeringen av detta ramverk.
Källa: ENISA, 2020, Cybersecurity Skills Development in the EU
https://www.enisa.europa.eu/publications/the-status-of-cybersecurity-education-in-the-european-union 3https://ec.europa.eu/commission/presscorner/detail/en/ip_20_1196 4 https://education.ec.europa.eu/focus-topics/digital-education/action-plan 5https://ec.europa.eu/commission/presscorner/detail/en/qanda_20_1197 6 https://digital-strategy.ec.europa.eu/en/node/157 7https://www.enisa.europa.eu/topics/cybersecurity-education/european-cybersecurity-skills-framework/adhoc_wg_calls
2. Att förstå ECSF
ECSF består av en representativ uppsättning av 12 rollprofiler för cybersäkerhetsprofessionella (presenterade i Figur 1) som vanligtvis krävs och tillämpas inom organisationer som använder cybersäkerhetsprofessionella. Varje profil definieras av en gemensam mall som inkluderar viktiga kriteriesätt (t.ex. titel, alternativa titlar, sammanfattningsutlåtande, uppdrag, huvuduppgifter, nyckelfärdigheter, nyckelkunskap, e-kompetenser). Innehållet i varje kriterium är skräddarsytt för varje roll men kan anpassas för att möjliggöra flexibel implementering för att möta specifika situationer och krav.
De 12 rollprofilerna för cybersäkerhetsprofessionella tillhandahålls i ett EU-godkänt, praxisdrivet format dedikerat till domänen för cybersäkerhetsprofessionella. Profilerna är lätta att förstå och erbjuder alternativa ingångspunkter beroende på sammanhang, perspektiv och behov. Genom dessa profiler kan ECSF användas som ett gemensamt referens- och kommunikationsverktyg som kan tillämpas över olika organisationer och länder för en gemensam intern och extern förståelse.
Strukturen för varje rollprofil beskrivs i Tabell 1 nedan.
Tabell 1: Komponenterna i varje ECSF-rollprofil
- Profil Titel: Namnet på den professionella rollprofilen.
- Alternativ(a) titel/titlar: Listar typiska alternativa titlar under samma profil.
- Sammanfattande uttalande: Anger profilens huvudsyfte.
- Uppdrag: Beskriver profilens syfte.
- Leverabel(er): En lista över typiska resultat från profilen, förklarar även profilens relevans från ett icke-expertperspektiv.
- Huvuduppgift(er): En lista över typiska uppgifter som utförs av den profilerade rollen.
- Nyckelfärdighet(er): En lista över förmågor som behövs för att utföra arbetsfunktionerna och plikterna i rollen. Mjuka färdigheter och etik är i vissa fall explicit uttalade.
- Nyckelkunskap: En lista över väsentlig kunskap som krävs för att utföra arbetsfunktionerna och plikterna i den profilerade rollen.
- E-Kompetenser (EN16234-1 e-CF): Koppling till EN16234-1 e-Kompetensramverket (e-CF) – Ett gemensamt europeiskt ramverk för IKT-professionella i alla sektorer.
Som presenterat i Tabell 1 fylls profilen för varje roll av en uppsättning deskriptiva punkter som är utformade för att ge en ögonblicksbild av rollen i termer av dess beskrivning, uppgifter och kompetenser. Titlar och typiska alternativa titlar kan användas som en snabbreferens för att vägleda ECSF-användare till de mest lämpliga rollprofilerna för deras tillämpning.
Komponenterna i rollprofilerna kan ändras för att bättre täcka intressentens behov, och rollprofiler (från ECSF och andra ramverk) kan blandas ihop av samma anledning. Mer information om tillämpningen av ECSF ges i Kapitel 3.
Mjuka färdigheter (även kallade tvärvetenskapliga, överförbara eller beteendemässiga färdigheter) är komponenter som är nödvändiga i vilken professionell färdighetsuppsättning som helst; sådana färdigheter behövs därför också för professionella inom cybersäkerhetsdomänen. En mängd olika färdigheter faller under mjuka färdigheter såsom förmågan att kommunicera, samarbeta med andra, rapportera, påverka, tänka kritiskt och hantera tid och stress. Viktiga mjuka färdigheter inkluderas i nyckelfärdighetskomponenten.
Till exempel inkluderar rollprofilen för en Chief Information Security Officer (CISO) som nyckelfärdigheter förmågan att påverka, leda, kommunicera, samarbeta och samverka. Alla dessa är väsentliga färdigheter om en CISO ska kunna uppfylla sina uppdrag och uppgifter. Baserat på intressentens behov kan fler mjuka färdigheter läggas till i profilen för en CISO eller en kartläggning med ett ramverk för mjuka färdigheter kan göras.
Etik är också ett viktigt tvärgående element som påverkar alla aspekter av cybersäkerhet och är därför en väsentlig färdighetskomponent inom det Europeiska Cybersäkerhetskompetensramverket (ECSF). Inom cybersäkerhet handlar etik om vilka beslut som är i linje med våra värderingar och vad som är moraliskt acceptabelt både för dataägaren och organisationen. Eftersom cybersäkerhetsprofessionella kan få privilegierad tillgång till olika typer av information, även känslig information, är etisk medvetenhet ett viktigt värde de bör ha. Förutom det är etiskt beslutsfattande en viktig färdighet som cybersäkerhetsprofessionella bör ha eftersom deras beslut påverkar andra individer. Precis som i fallet med mjuka färdigheter analyserade ECSF explicit om sektorns etiska sida är i linje med europeiska värderingar och etik.
En mer detaljerad analys av de mjuka och etiska färdigheterna kan göras av den intresserade parten eftersom ramverket är flexibelt och anpassningsbart.
2.1 ECSF:s designprinciper
Det Europeiska Cybersäkerhetskompetensramverket bygger på ett antal principer utformade för att täcka intressenternas behov. Detta erbjuder enkel förståelse, antagande och tillämpning av ramverket samtidigt som relevans och inverkan bibehålls på kort och lång sikt.
2.1.1 Enkel men omfattande
Ramverket är utformat för att vara tillräckligt allmänt för att det ska kunna förstås och tillämpas av en bredare publik. Samtidigt innehåller det tillräckligt med detaljer för att ge djupgående insikter i cybersäkerhet. Dessa egenskaper underlättar användningen av ramverket över ett brett spektrum av aktiviteter och miljöer och av intressenter från olika bakgrunder (t.ex. organisationer av olika storlekar, teknisk expertis av varierande intensitet och affärssektorer med olika kärnaktiviteter).
Detta har uppnåtts genom att tillämpa lämplig detaljnivå på innehållet i ECSF som inte är för specifikt eller för abstrakt. Genom att erbjuda 12 profiler täcker ECSF ett brett spektrum av olika arbetsaktiviteter men bibehåller ett lättanvänt format.
2.1.2 Flexibel och skalbar
Genom att anta ett modulärt tillvägagångssätt och en flexibel struktur gör ramverket att varje komponent kan utökas eller användas oberoende. Dessa egenskaper stöder ytterligare utvidgning av ECSF och/eller länkning till andra ramverk för att utöka dess tillämpningar.
Genom att tillämpa denna flexibilitet kan profilerna och deras komponenter, som definieras av ECSF, tillämpas på en modul-för-modul-bas, vilket gör att varje modul kan anpassas för att möta specifika behov. Denna flexibilitet säkerställer ramverkets relevans över åren och kommer också att tillåta enkla uppdateringar av ramverket i framtiden.
2.1.3 Öppen och opartisk
Ramverket har utvecklats med inmatning från en stor och diversifierad arbetsgrupp av professionella cybersäkerhetsexperter. För att utveckla ett opartiskt ramverk etablerade ENISA denna grupp från en mängd experter med olika bakgrunder. Genom att involvera experter med olika bakgrunder följde utvecklingsprocessen för ramverket ett multiperspektiviskt tillvägagångssätt som eliminerade eventuell bias mot specifika intresseområden. Vidare, som en ENISA-publikation, är ramverket offentligt tillgängligt, åtkomligt och öppet.
ECSF:s profiler och komponenter har utvecklats baserat på ett multiperspektivistiskt synsätt med fokus inte bara på anställningsperspektivet inom cybersäkerhet utan även från perspektivet av leverantörer av utbildningsprogram. Vidare har ramverkets sanningshalt förbättrats genom engagemang och recensioner från en mängd ytterligare intressenter.
2.1.4 Europeisk
Drivna av kravet att minimera kompetensgap inom cybersäkerhet och brister i arbetskraften över hela Europa, behövde ECSF vara i överensstämmelse med specifika europeiska krav för att möjliggöra enkel antagning och användning av europeiska organisationer. Denna riktning informerades av att följa befintliga europeiska standarder och ramverk.
ECSF ansluter väl till det nuvarande europeiska IKT-professionella landskapet för att säkerställa enkel upptagning och bred erkännande. ECSF drar nytta av befintliga erfarenheter och strukturer och tillhandahåller konsekventa länkar till relevanta EU-ICT-professionella standarder och ramverk. Profilerna som definieras av ramverket är utformade för att vara kompatibla och kompletterande till europeiska lagar och förordningar och för att förbättra tillvägagångssätt till europeisk etik som identifierats på den europeiska marknaden. ECSF tar hänsyn till kraven för dataskydd och integritet som anges av europeiska förordningar, vanliga jobbroller som efterfrågas av den europeiska marknaden och europeiska standarder och ramverk som används inom IKT-sektorn.
2.2 Huvudbidrag från ECSF
ECSF är ett lättanvänt men ändå omfattande verktyg. Det är baserat på senaste marknadsstudier, samarbete mellan cybersäkerhetsexperter och en analys av det bredare landskapet av cybersäkerhets- och IKT-ramverk. Det uttrycker därför de relevanta behoven på den europeiska marknaden. Det består av 12 typiska professionella roller inom cybersäkerhet, med en relaterad sammanfattning, uppdrag, observerbara resultat (leveranser), uppgifter, kompetenser, färdigheter, kunskap och kompetensnivåer, som krävs och tillämpas i arbetskontexten i Europa, för att förstås och användas över hela Europa.
ECSF ger en otvetydig referens för att identifiera och minska nuvarande och framtida brister och luckor i cybersäkerhetskompetenser. Det är generellt men samtidigt tillräckligt detaljerat för att ge EU-marknaden en tydlig taxonomi av färdigheter, kompetenser och yrken inom cybersäkerhetsarbetskraften. Dessutom kan det enkelt anslutas till andra befintliga strukturer och ramverk inom associerade fält.
Användning av ECSF som ett gemensamt europeiskt språk för professionella cybersäkerhetsroller, färdigheter, kunskap och kompetenser erbjuder många fördelar, varav några listas nedan:
- Användning av ECSF säkerställer en gemensam terminologi och delad förståelse mellan efterfrågan på cybersäkerhetsprofessionella (arbetsplats, rekrytering) och tillgång (kvalifikation, utbildning, bedömning och erkännande) över hela EU.
- ECSF stöder identifieringen av kritiska kompetenskrav från arbetskraftens perspektiv. Det möjliggör för utbildningsprogramleverantörer att stödja utvecklingen av kritiska färdigheter och policyutvecklare att stödja riktade initiativ för att mildra identifierade kompetensluckor.
- ECSF hjälper till att förstå professionella cybersäkerhetsroller och de nödvändiga viktiga färdigheterna och relevanta lagstiftningen. I synnerhet kan icke-experter och HR-avdelningar bättre förstå kraven för planering av cybersäkerhetsresurser, rekrytering och karriärplanering.
- ECSF främjar harmonisering inom cybersäkerhetsutbildning, träning och arbetskraftsutveckling. Dessutom är användningen av ett gemensamt europeiskt språk inom cybersäkerhetsfärdigheter och roller direkt relaterat till hela IKT-professionsdomänen.
- ECSF bidrar till att uppnå bättre motståndskraft mot cyberattacker och till att säkerställa säkra IKT-system i samhället. Det tillhandahåller en standardstruktur och ger råd om hur man verkställer kapacitetsbyggnad i den europeiska cybersäkerhetsarbetskraften.
ECSF erbjuder ytterligare fördelar baserat på intressenttypen. Ett exempel på de viktigaste intressenterna och de viktigaste tillhörande fördelarna visas i 3.
En detaljerad lista över potentiella tillämpningar och fördelar med att använda ECSF baserat på olika intressenter inkluderar:
För Organisationer: ECSF stöder utvecklingen av en cybersäkerhetsstrategi och organisationsstruktur samt utvecklingen av planering för cybersäkerhetsresurser. Det ger stöd i rekryteringsprocessen, särskilt i identifieringen av krav för cybersäkerhetsroller och bedömning av kandidater. ECSF erbjuder analys av kompetensgap inom cybersäkerhetsroller och möjliggör därmed prognoser för behov på individ-, team- eller organisationsnivå. Det definierar utvecklings- och utbildningsplaner och stöder utvärderingen av cybersäkerhetsroller genom att hjälpa till att skapa anpassade mallar. Dessutom tillhandahåller det ett gemensamt och lättförståeligt språk för cybersäkerhetsupphandlingar, rekrytering, lediga tjänster och revisioner.
För Utbildningsprogramleverantörer: ECSF stöder designen av utbildningsprogram och läroplaner, omformning och underhåll. Det erbjuder samarbete över institutioner och rörlighet i utbildningsprogram, till exempel gränsöverskridande europeiska utbildningsprogram från flera institutioner. Det främjar erbjudandet av utbildningsprogram och ökar medvetenheten, placerar lärande resultat i en verklig arbetsplatskontext, stöder bedömnings- och erkännandeprocesser och ger karriärinriktning till studenter.
För Individer: ECSF stöder individer i att göra professionella karriärval och positionera sig själva. Det breddar lärandeperspektiv, öppnar nya karriärvägar och främjar professionell utveckling för att stödja omskolning och vidareutbildning. Det hjälper till att förstå praktiska arbetsplatskrav och arbetsförväntningar mer i detalj och identifierar formella och informella inlärningsvägar. Det ger stöd i att bygga karriärvägar.
För Professionella Föreningar: ECSF möjliggör konsolidering av intressentgemenskaper för att stödja kunskapsdelning, nya utvecklingar, förbättringar och ytterligare implementering i EU-medlemsstater. Det ger stöd i att genomföra marknadsanalyser och presentera resultaten på ett gemensamt språk samt hjälper till att tillhandahålla omfattande professionell vägledning inom cybersäkerhetssektorn.
För Policyskapare och Regeringsintressenter: ECSF stöder en gemensam förståelse inom cybersäkerhetsfältet, stimulerar prioriteringsplanering och kapacitetsbyggnad inom cybersäkerhet. Det möjliggör kartläggning av många cybersäkerhetsinitiativ baserade på ECSF-profiler och stöder policyinitiativ baserade på dataanalys.
För Alla: ECSF erbjuder ett gemensamt språk för alla intressenter, accelererar samarbete genom att tillhandahålla en gemensam utgångspunkt och ger en gemensam referens för att samla och presentera information och behov relaterade till cybersäkerhetsprofessionella på alla nivåer, på nationell, europeisk och internationell nivå.
3. Tillämpningar av ECSF
Detta kapitel visar hur det Europeiska Cybersäkerhetskompetensramverket (ECSF) kan tillämpas på ett modulärt och flexibelt sätt baserat på olika intressenters behov. Specifik användning och praktisk tillämpning beror på många faktorer såsom marknadsperspektiv, organisationsstorlek, sammanhanget för en specifik prestation och övergripande syfte. De 12 rollprofilerna för cybersäkerhetsprofessionella som definieras av ECSF är ett flexibelt verktyg och en standard europeisk referens för anpassad användning i ett specifikt sammanhang.
Följande allmänna femstegsguide ger grundläggande orientering:
- Analysera situationen i målmiljön. Samla in och bearbeta lämplig information som behövs om cybersäkerhetsrelaterat tillstånd i målmiljön (t.ex. en organisation) för att skapa en baslinje. Identifiera inblandade parter och målet som ska uppnås.
- Identifiera specifika mål som ska uppnås. Titta på status för målmiljön och identifiera eventuella specifika cybersäkerhetsrelaterade krav som ska täckas eller något mål som ska uppnås av målmiljön. Beroende på situationen kan det vara möjligt att använda ECSF som en taxonomi för att identifiera de aktuella målen.
- Välj lämpliga komponenter av ECSF. Granska ECSF-profilerna och välj profiler som är relevanta för en specifik situation. Välj sedan de komponenter som hjälper till att täcka behoven eller uppnå de nödvändiga målen för målmiljön.
- Anpassa de valda komponenterna enligt dina behov. Gör lämpliga ändringar i valda komponenter för att bättre passa en specifik situation och/eller målmiljö. ECSF-profiler och/eller deras komponenter kan blandas, delas upp eller förflyttas till en sektorspecifik kontext enligt behoven i varje situation.
- Tillämpa de anpassade komponenterna på målmiljön. Vidta åtgärder med hjälp av de skräddarsydda ECSF-komponenterna för att täcka säkerhetsrelaterade mål som krävs för att förbättra situationen i målmiljön och uppnå det organisatoriska målet.
Tabell 3 presenterar några indikativa exempel på ECSF-tillämpningar efter de fem stegen som presenteras ovan.
Tabell 3: ECSF:s modulära tillvägagångssätt i praktiken
Exempel Steg Beskrivning Anställa cybersäkerhetsprofessionella i en organisation
- Analysera: Analysera organisationens aktuella cybersäkerhetsrelaterade tillstånd.
- Identifiera: Identifiera bristen på personal för att hantera ökningen av cybersäkerhetsproblem.
- Välj: Välj den lämpliga uppgiften från en ECSF-profil som uttrycker en identifierad brist på eller lucka i specifika färdigheter.
- Anpassa: Kombinera ECSF-profiler med uppgifter av intresse för organisationen och strukturera nya roller med de uppdaterade uppgifterna, färdigheterna och kunskaperna för att möta de förändrade organisationsbehoven och skapa ändrade cybersäkerhetsroller.
- Tillämpa: Använd den nyligen genererade profilen för att skapa jobbannonser inriktade på organisationens specifika behov.
Kompetensutveckling för cybersäkerhetsprofessionella
- Analysera: Förstå organisationens affärsmål och strategi.
- Identifiera: Identifiera bristen på expertis och personal inom cybersäkerhetsrelaterade områden.
- Välj: Använd ECSF-profil(er) för att identifiera de tillhörande färdigheterna och kunskaperna som organisationen saknar.
- Anpassa: Analysera utvalda färdigheter och kunskaper från ECSF för att identifiera utbildningsbehoven hos en cybersäkerhetsprofessionell för att möta organisationens behov.
- Tillämpa: Identifiera utbildningsinsatser för att öka kompetensen hos organisationens arbetskraft.
Göra egna karriärval
- Analysera: Välj en karriärväg som intresserar dig.
- Identifiera: Identifiera din brist på färdigheter och den kunskap som krävs för att gå in i cybersäkerhetssektorn.
- Välj: Identifiera ECSF-profil(er) som du finner användbara ur perspektivet av karriärutveckling och använd de kopplade färdigheterna, kunskaperna och kompetenserna som riktlinjer för omskolning och vidareutbildning.
- Anpassa: Förbättra de valda ECSF-profilerna genom att inkludera ytterligare färdigheter och kunskaper baserade på individuella behov.
- Tillämpa: Identifiera ett utbildningsprogram som inkluderar majoriteten av de färdigheter och kunskapsutveckling som krävs för att omskola eller vidareutbilda för profilen.
3.1 Anställa Cybersäkerhetsprofessionella – Tillämpa ECSF som en Organisation
ECSF erbjuder en standardreferensuppsättning av 12 typiska roller som utförs av cybersäkerhetsprofessionella ur ett organisatoriskt perspektiv. Det täcker organisationernas cybersäkerhetsbehov och de cybersäkerhetsprocesser som behöver följas för att säkra deras verksamhet, produkter, tjänster och deras försörjningskedjor. Ramverket ger därmed en värdefull guide och färdplan inte bara för att bygga, expandera och driva cybersäkerhetsrelaterade funktioner inom en organisation, men också för att säkerställa att dess cybersäkerhetsrelaterade uppdrag, vision och mål uppnås. Således kan en organisation använda ECSF som en utgångspunkt eller guide för att snabbt och enkelt få tillgång till de primära roller som behövs för att hantera sina cybersäkerhetsrisker och bygga upp sin cybersäkerhetsstrategi. Samtidigt ger ECSF-profilerna en gemensam förståelse bland de inblandade parterna avseende en organisations cybersäkerhetsroller.
Tre indikativa exempel, som presenteras senare i detta kapitel, syftar till att visa den praktiska implementeringen av ramverket i: I. förbättringen av cybersäkerhetspraxis hos ett litet företag; II. rekryteringsprocessen hos ett stort företag med ökande efterlevnadskrav; III. planeringen av cybersäkerhetsresurser i en stor organisation.
Exempel I: Förbättra cybersäkerhetspraxis hos ett litet företag presenterar tillämpningen av ECSF för att adressera behoven hos ett litet företag som söker att förbättra sin cybersäkerhetsstruktur och praxis. Det visar hur ett företag kan använda ECSF för att stödja utvecklingen av en cybersäkerhetsstrategi, inklusive planeringen av mänskliga resurser för cybersäkerhet och planering av upphandling av cybersäkerhet.
Genom att använda ECSF som en utgångspunkt eller som en guide behöver företaget inte uppfinna eller forska grundläggande roller som behövs för att förbättra sin cybersäkerhetsposition. Rollerna kan tilldelas olika personer eller kan samlas för att utföras av bara en eller några få personer beroende på strategi, krav, behov och budget.
Exemplet visar också hur ECSF kan stödja organisationen i rekryteringsprocessen genom att identifiera de cybersäkerhetsroller och ansvarsområden som behövs inom ett litet företag. I detta exempel tillhandahålls också en analys av cybersäkerhetsroll- och kompetensgap samt följande prognosering av behov på organisationsnivå. Förutom att stödja personalprocesserna i rekrytering, ger ECSF också ett gemensamt språk för upphandling av cybersäkerhetstjänster.
Exempel I: Förbättra cybersäkerhetspraxis hos ett litet företag
Ett litet företag inom molntjänster blev framgångsrikt bara några månader efter att grundarna, syskonen Alicia och Max, implementerade sin idé för en innovativ lösning. Alicia var det tekniska geniet medan Max var ett marknadsföringsgeni. Tyvärr hade ingen av dem någon erfarenhet av att driva eller bygga upp ett företag. Efter ett år började företaget ta fart och så flyttade de till ett eget kontor och anställde personal för att växa verksamheten. Under denna expansionsfas övervägde ingen att organisera företaget ordentligt. Många roller och uppgifter delades och utmaningar hanterades på ett ad hoc-sätt. Lyckligtvis inträffade ingen allvarlig cybersäkerhetsincident under denna övergångsfas.
Så småningom fick företaget lite medieexponering som blev viral, vilket resulterade i ett ökat intresse från nya investerare och kunder mot den lilla start-upen. Dock krävde större kunder och investerare försäkran och bevis på adekvata säkerhetsåtgärder och en organisationsstruktur innan de engagerade sig med företaget. Grundarna insåg att de verkligen behövde få ordning på saker inom sin organisation. De var medvetna om att nyckeln till organisationens framgång var medarbetarna och, för att möjliggöra för organisationen att blomstra och erbjuda motståndskraftiga tjänster, var det avgörande att definiera deras cybersäkerhetsroller och ansvar.
Frågan som behövde besvaras var vilken organisationsuppställning som behövdes och vilka roller och vilken typ av kompetenser organisationen behövde? Grundarna använde ECSF och identifierade att deras organisation behövde fem nyckelroller för att stödja deras cybersäkerhetsgrund:
- en strategisk cybersäkerhetschef (CISO)
- en juridisk officer för cybersäkerhet
- en cybersäkerhetsarkitekt
- några cybersäkerhetsimplementerare
- en incidentresponder för cyberincidenter.
När man tittade internt för att identifiera om deras anställda kunde täcka dessa roller, fann de att deras juridiska officer redan hanterade efterlevnad av lagar och regelverk och att hon hade intresse av att berika sina kompetenser inom integritets- och cybersäkerhetsjuridiska frågor. Personalavdelningen skulle kunna stödja vidareutbildning genom att använda en lista över nyckelkunskaper och färdigheter som erhållits från ECSF.
Organisationens ICT-arkitekt hade tidigare erfarenhet av att designa säkra nätverk och skulle därför med ytterligare utbildning för att uppdatera och berika hans kompetens också kunna täcka organisationens arkitektoniska cybersäkerhetskrav.
Systemadministratörerna följde många cybersäkerhetsbästa praxis men arbetade mestadels på ett ad hoc-sätt utan en strategi eller struktur. Följaktligen identifierade grundarna ett behov av att rekrytera en strategisk cybersäkerhetschef. Rekryteringsansvarig fick i uppdrag att utforma en arbetsbeskrivning baserad på ECSF:s CISO-profil och att lista ledigheten på deras webbplats.
Slutligen fastställdes att företagets funktioner för incidentrespons behövde vara operativa 24/7 för att försäkra kontinuerlig drift av tjänster.
Figur 5: De nyckelroller som identifierats med hjälp av ECSF och de åtgärder som ska vidtas
Exempel I visade hur användbart ECSF kan vara för följande fördelar:
- Förstå cybersäkerhetsroller
- Identifiera arbetskraftsbehov
- Utvärdera processer och struktur
- Omskola och/eller vidareutbilda anställda
- Stödja rekryteringsprocessen
- Bygga upp cybersäkerhetskapacitet
- Bygga en cybersäker och pålitlig organisation
- Bygga motståndskraft mot cyberattacker.
Figur 6: Fördelar med att använda ECSF som visas av Exempel I
Exempel II: Utforma en arbetsbeskrivning
Detta exempel demonstrerar användningen av ECSF vid skapandet av en arbetsbeskrivning. Det visar hur ECSF kan vara fördelaktigt ur ett HR-perspektiv utan att behöva ha en djup förståelse för cybersäkerhetsprofessionen. Exemplet visar hur en ledig tjänst kan skapas och hur man undviker att skapa missvisande eller förvirrande förväntningar samt hur man attraherar lämpligt kvalificerad personal. Det demonstrerar också hur man kombinerar komponenterna i en ECSF-rollprofil och anpassar dem efter en organisations jobbbehov.
Detta exempel visar hur en organisation kan använda ECSF för att skapa en beskrivning av en roll. Även utan en HR-bakgrund är det möjligt att definiera de uppgifter, färdigheter och kunskaper som krävs av en kandidat för rekrytering genom att känna till rollens uppdrag. Utöver stöd till rekryteringsprocessen kan ECSF även hjälpa företaget att definiera utbildningsplaner för nyanställd personal. Det är anmärkningsvärt att ECSF inte bara tillhandahåller ett gemensamt språk för cybersäkerhetsupphandling utan också för revisionsändamål, särskilt där ansvarsprincipen implementeras och en väsentlig och tydlig åtskillnad av uppgifter krävs.
Exempel II: Utforma en arbetsbeskrivning
Ett stort försäkringsbolag utökar sin portfölj till cybersäkerhetsförsäkring eftersom många kunder efterfrågar denna tjänst. Efter en mindre intern omstrukturering och uppdatering av personalinventeringen beslutar företaget att lägga till cybersäkerhet i efterlevnadsavdelningen. Följaktligen drar efterlevnadsavdelningens ledning slutsatsen att de behöver rekrytera en Cyberefterlevnadsansvarig för att stödja det nya uppdraget.
Företagets HR-avdelning får i uppgift att hitta och rekrytera den mest lämpliga kandidaten. Eftersom cybersäkerhet är ett nytt område för organisationen måste HR även skapa en rollbeskrivning. För att definiera denna nya roll intervjuar HR kunniga chefer och personal för att identifiera behoven och de viktigaste uppgifterna för denna position. Dessa behov identifieras och de valda huvuduppgifterna är följande:
- Säkerställa efterlevnad och ge juridisk rådgivning och vägledning om datasekretess och dataskyddsstandarder, lagar och förordningar;
- Identifiera och dokumentera brister i efterlevnaden;
- Utveckla en revisionsplan som beskriver ramverk, standarder, förfaranden och revisionstester;
- Genomföra revisionsplanen och samla bevis och mätningar;
- Utveckla och kommunicera revisionsresultat (rapportering).
Den ansvariga HR-tjänstemannen inser att detta är en komplex roll och att inga rekryteringsmallar som passar denna roll finns tillgängliga. Därför måste en ny rollbeskrivning och mall skapas och godkännas av ledningen.
HR-tjänstemannen använder nu ECSF för att analysera olika roller inom ramverket. De angivna arbetsuppgifterna inkluderas i de viktigaste uppgifterna som identifierats i rollerna för Cyberjuridisk, Policy & Efterlevnadsansvarig och Cybersäkerhetsrevisor.
För att utföra dessa uppgifter är de identifierade färdigheterna och den nödvändiga kunskapen följande:
- Färdigheter
- Förstå implikationerna av ändringar i det juridiska ramverket för organisationens cybersäkerhets- och dataskyddsstrategi och -policyer;
- Följa och praktisera revisionsramverk, standarder och metoder;
- Tillämpa revisionsverktyg och -tekniker;
- Arbeta som en del av ett team och samarbeta med kollegor.
- Kunskap
- Avancerad kunskap om nationella, EU och internationella cybersäkerhets- och relaterade integritetsstandarder, lagstiftning, policyer och förordningar;
- Kunskap om informationssekretessens efterlevnad och regleringskrav på internationell, nationell och EU-nivå;
- Grundläggande förståelse för datalagring, bearbetning och skydd inom system, tjänster och infrastrukturer.
En ny rollbeskrivning anpassad till företagets behov kan nu skapas genom att kartlägga och kombinera delar av profilen för rollen som Cyberjuridisk, Policy & Efterlevnadsansvarig och delar av profilen för rollen som Cybersäkerhetsrevisor. Viktigt är att genom kartläggning till ramverket baseras denna nya unika roll på kärninnehållet i ECSF. Detta ger en enhetlig och strukturerad roll som kan spåras tillbaka till sitt ursprung.
Figur 7: Cybersäkerhetsjobbprofil skapad baserat på ECSF:s rollprofiler
Genom denna kartläggning till ECSF är den nödvändiga rollbeskrivningen tillgänglig och kan användas för att utforma rollen och den efterföljande arbetsbeskrivningen som HR behöver för att få intern godkännande och publicera på företagets rekryteringswebbplats. Ytterligare element, såsom rollens uppdrag, kan användas som inledande text för publiceringen av denna lediga tjänst.
Exempel II visade hur användbart ECSF kan vara för följande fördelar:
- Förstå cybersäkerhetsroller
- Identifiera arbetskraftsbehov
- Identifiera rollkrav
- Stödja rekryteringsprocessen
- Stödja skapandet av en anpassad ledig tjänstmall
- Använda ett gemensamt språk för lediga tjänster.
Figur 8: Fördelar med att använda ECSF presenterade av Exempel II
Exempel III: Ett stort företag med sin huvudsakliga verksamhet utanför IKT behöver inrätta en cybersäkerhetsavdelning demonstrerar tillämpningen av ECSF vid skapandet av en ny cybersäkerhetsavdelning och förberedelserna av en cybersäkerhetsstrategi för företaget. Det föreslår också en kategorisering av de 12 profilerna i fyra (4) makroområden för en hög nivå av förståelse och kommunikation. Det visar hur en stor organisation kan använda ECSF för att stödja utvecklingen av en cybersäkerhetsstrategi, inklusive planering av mänskliga resurser och talangutveckling inom cybersäkerhet.
Exempel III: Ett stort företag med sin huvudsakliga verksamhet utanför IKT behöver inrätta en cybersäkerhetsavdelning
Ett stort företag med en kärnverksamhet som inte är relaterad till IKT eller cybersäkerhetstjänster insåg behovet av att skydda sina värdefulla tillgångar från cybersäkerhetshot. Faktum är att den antagna affärsstrategin innehöll en omfattande plan för digitalisering av affärsprocesser och beroendet av IKT blev signifikant högre för kritiska affärsoperationer.
Eftersom företaget inte hade någon intern expertis för att hantera cybersäkerhetsrisker, beslutade styrelsen att anställa en Chief Security Information Officer (CISO) för att definiera den övergripande cybersäkerhetsstrategin i linje med företagets affärsmål. Detta skulle också kräva inrättandet av en avdelning för att hantera cybersäkerhetsrisker.
CISO:n, som nyligen utsetts, använde ECSF som en riktlinje och som en solid referens för de cybersäkerhetsroller som behövdes för att hantera dess cybersäkerhetsrisker. Hon använde det som ett flexibelt verktyg för att hjälpa till att strukturera en cybersäkerhetsavdelning. Hon insåg också att det skulle vara användbart att placera ECSF-roller inom ramen för en förvaltningscirkel, under fyra (4) makroområden: a) Planera, b) Implementera, c) Operera och d) Förbättra.
Figur 9: Placering av ECSF-rollprofilerna i kontexten av en förvaltningscirkel
I makroområdet Planering sattes prioriteringar och mål, strategier, policyer och handlingsplaner utvecklades, arkitekturer definierades, resurser allokerades. I detta makroområde placerades naturligt CISO, Policy- och Efterlevnadsansvarig, Riskhanteraren och Arkitektprofilerna.
Implementering av cybersäkerhetsåtgärder (Implementerare) och utbildning samt medvetenhetshöjning (Utbildare) tilldelades makroområdet Implementera.
De dagliga Operationerna var det mest “påtagliga” området. Att svara på incidenter (inklusive SOC-team), forensiska aktiviteter är dagliga aktiviteter för cybersäkerhetsspecialister. Profilen för hotintelligens sågs också som ett operativt område, eftersom dessa professionella arbetar med operativa data från flera källor.
Penetrationstestare (testning för nuvarande och framväxande hot), Forskare (som introducerar nya teknologier och lösningar) och Revisorer (som identifierar luckor) stödjer Förbättringsstadiet.
Eftersom ECSF är ett flexibelt verktyg för anpassad användning i en specifik kontext, tillämpade CISO den 5-stegsguide för att anpassa rollprofilerna efter sina specifika behov och mål.
Analysen av ECSF-profilerna hjälpte henne att definiera de resursplaner som behövdes för att uppnå företagets mål.
I makroområdet Planering beslutade hon att:
- Ta ansvar för policy- och efterlevnadsuppgifter för att förenkla organisationsstrukturen;
- Anställa en cybersäkerhetsarkitekt som skulle hjälpa till att definiera den övergripande arkitekturstrategin för att hantera cybersäkerhetsrisker och säkerställa säkra-by-design-lösningar för att stödja den digitala transformationen.
- Anställa en cybersäkerhetsriskhanterare som skulle hjälpa till att bedöma företagets cybersäkerhetsriskpostur och hjälpa till att definiera handlingsplaner för att hantera identifierade risker.
I makroområdet Implementera utnyttjade hon ECSF:s färdighets- och kunskapskomponenter för att förstå vilken vidareutbildning som skulle krävas för att dra nytta av de interna resurserna som fanns tillgängliga eller alternativt bestämma sig för att anställa externt. Det multinationella företaget hade ett befintligt team av instruktörer inom ett annat område. Dock fanns inget specialistteam för att utforma och genomföra cybersäkerhetsmedvetenhets- eller utbildningskurser. CISO undersökte om några av utbildarna hade de färdigheter och kunskaper som listades i ECSF och intresset att gå med i hennes nya team.
I makroområdet Operera tittade CISO på hur man skulle hantera de dagliga cybersäkerhetsoperationerna och beslutade att inrätta globala säkerhetsoperationscentra med incidentrespondenter som arbetar på olika kontinenter för att tillhandahålla stöd 24/7. Dessutom anställdes en hotintelligensspecialist för att tillhandahålla operativa insikter för att leda jakten på hot och minska riskerna. CISO konstaterade att det inte var nödvändigt att anställa en digital forensiker utan istället engagera ett specialiserat konsultföretag för eventuella forensiska behov.
I makroområdet Förbättra beslutade CISO att anlita en extern tjänsteleverantör för penetrationstestning med målet att testa resiliensen hos företagets infrastruktur och applikationer. CISO bedömde även kapaciteten hos internrevisionsteamet och beslutade att anställa en cybersäkerhetsrevisor för att granska säkerhetsrelaterade policyer. CISO kände inte att det fanns ett behov av att anställa en cybersäkerhetsforskare eftersom cybersäkerhetsforskning låg utanför hennes organisations omfattning.
Sammanfattningsvis belyste Exempel III hur användbart ECSF kan vara för följande fördelar:
- Förstå cybersäkerhetsroller
- Bistå i skapandet av en organisationsstruktur
- Identifiera krav för cybersäkerhetsroller
- Bistå i planeringen av mänskliga resurser
- Vidareutbilda anställda
- Stödja bedömningen av kandidater
- Använda gemensam terminologi för samarbete
Figur 10: Fördelar med att använda ECSF demonstrerade av Exempel III
3.2 Vidareutbilda Cybersäkerhetsprofessionella – Tillämpa ECSF som Utbildningsleverantör
ECSF erbjuder ett gemensamt språk och vokabulär för utvecklingen av professionella cybersäkerhetsfärdigheter till utbildningsprogramleverantörer och utbildningsinstitutioner av alla slag, såsom högre utbildning (HE), yrkesutbildning och träning (VET), eller något annat cybersäkerhetsrelaterat utbildningsprogram eller träning. De definierade rollprofilerna ger en cybersäkerhetsarbetsplatsdriven, europeiskt förankrad ansats för att länka aktuella krav för professionell praxis med cybersäkerhetsrelaterade läroplaner och utbildningsprogram.
ECSF definierar de typiska kraven för en profil från två grundläggande synvinklar.
- Vad gör denna roll i organisationen?
- Adresserar arbetsplatsperspektivet (profilavsnitt om uppdrag, leveranser och uppgifter)
- Vad behöver denna roll veta och kunna göra?
- Adresserar lärandeperspektivet (profilavsnitt om färdigheter, kunskap och e-CF-kompetenser)
Figur 11: ECSF-rollprofilernas avsnitt kopplade till arbetsplats- och lärandeperspektiven
ECSF positionerar lärande utfall i ett verkligt arbetsplatskontext. Specifikt låter beskrivningarna i ECSF-profiler av roller utbildningsprogramleverantörer att granska sina läroplaner på ett strukturerat och systematiskt sätt, inklusive ur praktikernas synvinkel.
Som illustreras i Bilaga B.2 kan ECSF bidra till flera aktiviteter som genomförs vid akademiska institutioner.
- ECSF kan användas för att utveckla eller uppdatera lärande utfall av kurser och anpassa det till arbetsmarknadens behov. Färdigheter, kunskap och kompetenser inom en rollprofil kan användas för att vägleda designfasen av läroplaner och stödja etableringen av önskade lärande utfall. Till exempel, när man analyserar utbildningsbehoven för ett specifikt cybersäkerhetsjobb, ger en anpassad ECSF-profil en solid startpunkt för att förstå associerade utbildningskrav.
- ECSF kan fungera som ett samarbetsverktyg för att skapa gemensamma akademiska program och för att möjliggöra studenters mobilitet.
- ECSF kan fungera som grund för definitionen av ett ramverk för en cybersäkerhetsläroplan som skulle hjälpa universitet att kartlägga huvudfokus för sitt cybersäkerhetsprogram och kommunicera det till studenterna.
Som illustreras i Bilaga B.1, adresserar ECSF några av de utmaningar som identifierats i det europeiska landskapet för cybersäkerhetsprofessionell kvalifikation. Specifikt:
- ECSF stödjer en tvärvetenskaplig och tvärindustriell överenskommen terminologi relaterad till cybersäkerhetsfärdigheter;
- ECSF kan stödja utvecklingen av en integrerad plattform för färdigheter för att tillhandahålla aktuell information angående arbetsmarknaden, kompetenser, utbildningskurser, certifieringsscheman och en karriärväg.
ECSF erbjuder ett gemensamt språk och vokabulär för utvecklingen av professionella cybersäkerhetsfärdigheter till leverantörer av utbildningsprogram och utbildningsinstitutioner av alla slag.
Figur 12: Fördelar med att använda ECSF som en utbildningsleverantör
I utvecklingen av cybersäkerhetskvalifikationer och utformningen av läroplaner fungerar ECSF:s rollprofiler som ett kommunikationsverktyg mellan arbetsgivare och utbildare för att förbättra konsultationsprocessen och samarbetsresultaten. Arbetsgivaren kan snabbt definiera de nödvändiga aktiviteterna eller uppgifterna och arbeta bakåt för att identifiera de kompetenser, färdigheter och kunskaper som utbildare bör inkludera i läroplaner. Detta tillvägagångssätt påskyndar avsevärt utformningen av läroplaner som är överenskomna mellan arbetsgivare, regeringar och utbildare.
Figur 13 illustrerar hur avsnitten i ECSF-rollprofilerna som är tillägnade kompetenser, kunskap och färdigheter kan användas för att definiera lärande utfall, identifiera lämpliga nivåer av utbildningsprogram och skapa läroplaner för yrken inom cybersäkerhet. Eftersom kunskap och färdigheter, liksom allt innehåll i rollbeskrivningarna, tillhandahålls som vägledande exempel för flexibel anpassning till kontexten, kan även andra källor användas.
Källa: Avsnitten om färdigheter, kunskap och kompetenser i ECSF är varken uttömmande eller begränsande, vilket ger användaren möjlighet att berika dem genom att även inkludera externa resurser, till exempel Cyber Security Body Of Knowledge (CyBOK). https://www.cybok.org/, JRC Classification https://joint-research-centre.ec.europa.eu/publications/unified-conceptualframework-tasks-skills-and-competences_en
Figur 13: ECSF-profiler som vägleder lärande för cybersäkerhetsprofessionella
Koppling av lärandenivåer (EQF) och arbetsplatskompetensnivåer (e-CF)
Det Europeiska Kvalifikationsramverket (EQF) är ett gemensamt europeiskt referensramverk för kvalifikationer. Syftet med EQF är att jämföra kvalifikationer och lärande utfall som uppstår i olika länder och nationella utbildningssystem. EQF baseras på rekommendationen om det Europeiska Kvalifikationsramverket för livslångt lärande antaget av Europaparlamentet och rådet den 23 april 2008.
EQF definierar åtta (8) nivåer av utbildningsprestation med beskrivningar som differentierar varje nivå. Kriteriet för varje nivå baseras på bedömning av Kunskap, Färdigheter, Ansvar och Självständighet.
Det Europeiska e-kompetensramverket (e-CF), standard EN 16234-1, som används av ECSF, är ett gemensamt europeiskt ramverk för IKT-professionellas kompetenser, kunskaper och färdigheter. Det relaterar till kompetenser som behövs och tillämpas på arbetsplatsen. Dimension 3 av e-CF definierar kompetensnivåer som härrör från arbetsplatskompetens. Det finns fem (5) definierade e-kompetensnivåer e-1 till e-5 relaterade till EQF:s lärandenivåer 3 till 8 (EQF-nivåer 1 och 2 är inte relevanta i detta sammanhang).
Relationen mellan e-CF-nivåerna e-1 till e-5 med EQF-nivåerna 3 – 8 illustreras nedan:
Figur 14: Relationen mellan EQF- och e-CF-nivåer
Tack vare denna systematiskt utvecklade relation är det möjligt att relatera e-CF:s kompetensnivåer med EQF:s lärandenivåer. Relationen, på grund av den olika karaktären hos varje ramverk, är inte av fullständig motsvarighet. Dock kan den tillämpas för att öka transparensen och tillhandahålla ett gemensamt språk mellan krav på professionella kompetenser på arbetsplatsen och relaterade kvalifikationer från utbildningsinstitutioner. Således kan e-CF-kompetensnivåerna som införlivats inom ECSF-rollprofilerna användas som en allmän vägledning till erforderliga utbildningsnivåer.
Källa: 1. European Qualifications Framework for lifelong learning 10 EN16234-1:2019: e-Competence Framework (e-CF) – a common European Framework for ICT professionals in all sectors2. CEN/TS 17699:2022 Guidelines for developing ICT professional curricula as scoped by EN16234-1 (e-CF)
3.3 Göra egna karriärval – Tillämpa ECSF som en individuell professionell
Det gemensamma språket som definieras av ECSF kan användas för att klargöra eventuell förvirring mellan professionella cybersäkerhetsjobbroller och cybersäkerhetsutbildningsprogram. Genom att tillhandahålla ett gemensamt språk och en tydlig beskrivning av de professionella jobbrollerna inom cybersäkerhet, de uppgifter som förväntas utföras av dem samt de färdigheter, kompetenser och kunskaper som krävs, kan ECSF bygga en gemensam förståelse och tillhandahålla den klarhet som krävs för att locka nya individer till cybersäkerhetsfältet eller assistera dem i planeringen av deras karriärvägar.
Figur 15: Användning av ECSF för att definiera individens karriärvägar
Professionella som redan arbetar i positioner relaterade till cybersäkerhet kan använda ECSF som en vägledning för att avancera inom sitt område. Genom att kartlägga sina färdigheter och kunskaper mot intressanta ECSF-rollprofiler kan individer identifiera eventuella saknade färdigheter eller kunskaper som de behöver utveckla, bemästra eller lära sig så att de är redo att täcka framtida jobbkrav eller möjliga övergångar mellan cybersäkerhetsroller när de utvecklar sin professionella karriär. Detta underlättar dialogen mellan anställda och arbetsgivare när man planerar kontinuerlig utbildning inom cybersäkerhetsområdet. Eftersom ECSF indikerar både formella och informella inlärningsvägar, hjälper det även nya deltagare som inte vet var de ska börja. Att bygga på tidigare kunskaper och kompetenser är ofta en enklare väg än att börja helt från början. Bilaga B.6 behandlar detta ämne och tillhandahåller djupare insikter och exempel på ‘individuellt karriärbeslutsfattande’ med hjälp av ECSF.
Med användning av ECSF som en baslinje kan en individ identifiera de nödvändiga kompetenserna och färdigheterna för att flytta från en roll till en annan eller för att identifiera nuvarande utbildningsbehov.
Det gemensamma språket som definieras av ECSF kan vara till hjälp för individer som letar efter jobb inom cybersäkerhet. ECSF kan hjälpa till att filtrera jobbannonser och förstå jobbeskrivningar, samtidigt som det också kan göra jobbets övergripande rörlighet inom cybersäkerhet enklare genom att kartlägga individens färdigheter, kunskaper och kompetenser till ECSF.
Cybersäkerhet är en god karriärmöjlighet även för individer som för närvarande är specialiserade inom andra områden. Därför är omskolning av människor och flytt av dem till cybersäkerhetsfältet ett bra sätt att tillfredsställa arbetsmarknadens behov och minska arbetskraftsbristerna inom området. Eftersom cybersäkerhet är ett tvärvetenskapligt ämne, kan en sådan karriärändring vara snabbare för individer med bakgrunder nära ett av huvudaspekterna inom området:
- Tekniskt – relaterat till teknologi, konkreta teknologiska tillvägagångssätt och lösningar som kan användas för att bekämpa cyberbrott och cyberterrorism;
- Mänskligt – relaterat till mänskliga faktorer, beteendeaspekter, integritetsfrågor, samt att höja medvetenheten och kunskapen i samhället med avseende på hot från cyberbrott och terrorism;
- Organisatoriskt – relaterat till processer, procedurer och policyer inom organisationer, samt samarbete (offentligt-privat, offentligt-offentligt) mellan organisationer;
- Regulatoriskt – relaterat till lagens bestämmelser, standardisering och rättsmedicin.
Genom att ha en tydlig förståelse för de huvudsakliga profilerna för cybersäkerhetsroller inom området och ett gemensamt cybersäkerhetsspråk över ett bredare utbud av sektorer som tillhandahålls av ECSF, kan individer som söker byta karriär till cybersäkerhet använda ECSF som en utgångspunkt för att identifiera specifika kompetenser, färdigheter och kunskaper som de behöver förvärva för övergången.
Figur 16: Användning av ECSF för att analysera och jämföra cybersäkerhetsutbildningsprogram
Oavsett om individen redan arbetar inom cybersäkerhet (och ser att utvidga sin kunskap), för närvarande är anställd inom ett annat område (och ser att byta karriär) eller söker en akademisk utbildning (och ser att arbeta inom cybersäkerhet i framtiden), kan ECSF hjälpa till att förstå de huvudsakliga profilerna för cybersäkerhetsroller (genom att tillhandahålla en beskrivning och analysera dem i uppgifter, färdigheter, kunskaper och kompetenser) samt hjälpa till i analysen och jämförelsen av tillgängliga utbildningsprogram (genom att kartlägga lärandeutfallen till de nödvändiga färdigheterna och kunskaperna för de föredragna cybersäkerhetsprofilerna).
3.4 Bygga Cybersäkerhetsgemenskaper – Tillämpa ECSF som en Professionell Förening
ECSF skapar ett gemensamt språk och en delad förståelse för rollprofilerna för cybersäkerhetsprofessionella. Därför kan det användas av professionella föreningar som en standard för att säkerställa att deras arbete kan användas och tillämpas över hela EU, vilket eliminerar förvirring i terminologi och eventuell brist på förståelse.
Professionella organisationer kan använda ramverket för att genomföra marknadsanalyser med hjälp av ECSF:s rollprofiler och presentera resultaten på ett gemensamt språk. Till exempel förväntas ECSF vara till hjälp för att belysa de profiler som saknas på marknaden, de cybersäkerhetsjobb som är mest eftertraktade och de lagstiftningsaspekter som vissa professionella jobbprofiler innefattar. Dessutom, genom att använda ECSF som ett gemensamt språk, kan professionella föreningar arbeta mot professionell vägledning inom cybersäkerhetssektorn som presenteras i Bilaga B.5.
Användningen av ECSF möjliggör också konsolideringen av en gemenskap av intressenter för att stödja nya utvecklingar, förbättringar och vidare implementering i EU:s medlemsstater. Ett sådant ramverk för samarbete möjliggör mänsklig interaktion som resulterar i fördelar såsom kunskapsdelning, identifiering av trender på EU-nivå, aktiviteter för inlärning mellan likar, tillämpning av tvärvetenskapliga tillvägagångssätt och empowerment för att anpassa och skräddarsy ECSF till specifika krav.
Sammanfattningsvis kan ECSF användas av professionella cybersäkerhetsföreningar som ett verktyg för att basera sina aktiviteter på, med målet att uppnå bättre säkerhet mot cyberattacker över hela EU som ett samhälle.
3.5 Strategiskt stärka sektorn – Tillämpa ECSF som en beslutsfattare
Med ECSF får en avgörande professionell gemenskap tydlig synlighet eftersom användningen av ramverket skapar en gemensam förståelse för vad cybersäkerhetsspecialister gör. Därför erbjuder ECSF ett verktyg för att analysera och dela kritiska samlingar av data och statistik relaterade till arbetskraften inom cybersäkerhet i en gemensam och EU-omfattande förståelig terminologi. Sådana data är viktiga för beslutsfattare eftersom de får bättre insikter i tillståndet för arbetskraften inom cybersäkerhet över hela EU, vilket möjliggör för dem att förstå och uppskatta framtida behov av cybersäkerhetsspecialister i kvantitet och kvalitet. Sådant strategiskt underlag hjälper till att uppdatera och underhålla ECSF själv, så att dess relevans i framtiden förblir giltig. Vidare, genom att definiera en gemensam terminologi, möjliggör ECSF gränsöverskridande samarbete mellan beslutsfattare genom data- och informationsutbyte.
Med en strukturerad ansats till en mycket mångsidig marknadsmiljö tillhandahåller ECSF-rollprofilerna ett värdefullt verktyg för stöd till beslutsfattare, marknadsundersökare och andra intressenter med inflytande och roll för att strategiskt stärka sektorn. ECSF-profilerna kan vara användbara för datastudier om utbud och efterfrågan som genomförs på nationell, europeisk och internationell nivå. Profilerna ger en gemensam, överenskommen definition för att underlätta insamlingen av tillförlitliga och jämförbara data på cybersäkerhetsjobbmarknaden, inklusive utbudet och efterfrågan på olika typer av cybersäkerhetsprofessionella och relaterade krav på specifika färdigheter.
Beslutsprocesser som adresserar cybersäkerhet kan dra nytta av datainsamling vid tidpunkten för att fatta beslut, t.ex. finansieringsbestämmelser, investeringsprioriteringar och interventionsperioder. Utöver kärnaktiviteterna för varje profil kan de aktiviteter som utförs av dem bidra till att generera och samla relevanta datamängder som kan stödja policybeslut. Bilaga B.3 visar hur fragmenterad information utgör en utmaning när beslut fattas och de åtgärder som INCIBE vidtar för att hantera denna utmaning med stöd av ECSF. Genom att införliva ECSF som ett homogent ramverk för definitionen av cybersäkerhetsprofiler får EU:s medlemsstater värdefullt stöd för att uppnå sina mål om att öka cybersäkerhetstalanger och bli anpassade med resten av länderna på europeisk nivå.
4. Termer och definitioner
Term | Definition | Källa |
---|---|---|
Cybersäkerhet | Alla aktiviteter som är nödvändiga för att skydda nätverk och informationssystem, användarna av sådana system och andra personer som påverkas av cyberhot. | ENISA mandat (Förordning (EU) 2019/881) |
Cyberhot | Alla potentiella omständigheter, händelser eller åtgärder som kan skada, störa eller på annat sätt negativt påverka nätverk och informationssystem, användarna av sådana system och andra personer. | ENISA mandat (Förordning (EU) 2019/881) |
Informations- och kommunikationsteknik (IKT) | IKT står för informations- och kommunikationsteknik. Det används i många olika sammanhang och ur ett tekniskt perspektiv relaterar IKT till digitala datorer och internetsystem (kommunikation), inklusive mjukvara, hårdvara och nätverk. Ur ett ekonomiskt och politiskt perspektiv relaterar IKT till en tvärsektoriell grupp av företag, inklusive tillverkare, produktleverantörer eller tjänsteleverantörer inom IKT-området. | EN16234-1:2019 e-Kompetensramverket (e-CF) |
Kompetens | Den demonstrerade förmågan att tillämpa kunskaper, färdigheter och attityder för att uppnå observerbara resultat. Exempel är B.1. Applikationsutveckling och E.3. Riskhantering. | EN16234-1:2019 e-Kompetensramverket (e-CF) |
Färdighet | Förmågan att utföra ledande eller tekniska aktiviteter och uppgifter på en kognitiv eller praktisk nivå; att veta hur man gör det. | EN16234-1:2019 e-Kompetensramverket (e-CF) |
Mjuka färdigheter | Interaktiva färdigheter som används för att framgångsrikt engagera sig med situationer på arbetsplatsen; kan hänvisa till arbetskvalitet, social interaktion eller känsla. (kallas även tvärvetenskapliga, överförbara eller beteendemässiga färdigheter) | EN16234-1:2019 e-Kompetensramverket (e-CF) |
Kunskap | Faktabas som ska tillämpas inom ett arbets- eller studieområde; att veta vad man ska göra. | EN16234-1:2019 e-Kompetensramverket (e-CF) |
Attityd | Representation av den mänskliga delen av en e-kompetens; det reflekterar över hur en person integrerar kunskap och färdigheter och tillämpar dem på lämpligt sätt i sammanhanget. | EN16234-1:2019 e-Kompetensramverket (e-CF) |
Lärande utfall | Uttalande om vad en person vet, förstår och kan utföra vid avslutandet av en lärandeprocess | Europeiska kvalifikationsramverket (EQF) |
Rollprofil | En översikt eller generellt dokument som demonstrerar relationen mellan specifika aktiviteter eller uppgifter i en roll och de individuella färdigheterna, kompetenserna och kunskaperna som krävs för att utföra dem. Till skillnad från ett specifikt jobb härstammar en roll från ett organisatoriskt behov av att göra något. Tilldelade anställda kan möta organisatoriska krav genom att utföra alla eller delar av de uppgifter som krävs för att säkerställa deras roll. | Creative Leadership – Talent Management CWA ICT Profiles |
Jobbprofil | En kontextspecifik och detaljerad beskrivning av vad en anställd gör för att försäkra att jobbinnehavaren inte har några tvivel om sina uppgifter, plikter, ansvar och ofta dem till vilka de rapporterar. Den innehåller vanligtvis exakt information om de kompetenser, färdigheter och kunskaper som krävs samt praktisk information om hälsa och säkerhet och ersättning. | ICT Profiles CWA |
Kompetensnivå | En tydlig indikation på graden av mästerskap som möjliggör för en professionell att möta krav i utförandet av en kompetens. EN 16234-1 (e-CF) innehåller kompetensnivåer e-1 till e-5. e-CF karaktäriserar kompetensnivåer genom att kombinera nivåer av inflytande inom en gemenskap, komplexitet i sammanhanget och självständighet. | EN16234-1:2019 e-Kompetensramverket (e-CF) |
Lärningsnivå | Indikerar en gradering och kan representeras av en formell kvalifikation. Lärningsnivåer härstammar generellt från ett utbildningssystem eller indikerar en gradering i en taxonomi av intellektuella eller lärandebeteenden (som att memorera, tillämpa, tolka) och har en relation med kompetensnivåer men ska skiljas från dessa. | EN16234-1:2019 e-Kompetensramverket (e-CF) |
5. Referenser
- ENISA Mandat, Förordning (EU) 2019/881, https://eur-lex.europa.eu/eli/reg/2019/881/oj
- Europeiska IKT-professionella rollprofiler, CWA 16458, https://standards.cencenelec.eu
- EN 16234-1:2019 e-Kompetensramverket (e-CF), Ett gemensamt europeiskt ramverk för IKT-professionella inom alla sektorer
- CEN/TS 17699:2022 Riktlinjer för utveckling av IKT-professionella läroplaner enligt EN 16234-1 (e-CF)
- CEN/TS 17834:2022 Europeiskt yrkesetiskt ramverk för IKT-yrket (EU ICT Ethics)
- Europeiska kvalifikationsramverket (EQF)
- ESCO Den europeiska flerspråkiga klassificeringen av Färdigheter, Kompetenser och Yrken, http://www.ec.europa.eu/esco
- IFIP Etikkod
- NIST Incident Response Lifecycle
- Nationella initiativet för cybersäkerhetsutbildning (NICE) av det nationella institutet för standarder och teknologi i USA
- Nationella cybersäkerhetsstrategier (NCSSs), https://www.enisa.europa.eu/topics/national-cyber-security-strategies/national-cyber-security-strategies-guidelines-tools
- Cybersäkerhetskroppens kunskapsbas (CyBOK) av det brittiska nationella cybersäkerhetsprogrammet och University of Bristol, https://www.cybok.org
- JRC, Taxonomi och ordlista för Cybersäkerhet av Europeiska kommissionen, https://publications.jrc.ec.europa.eu/repository/bitstream/JRC118089/taxonomy-v2.pdf
- Det Europeiska Kompetensagendan, https://ec.europa.eu/commission/presscorner/detail/en/ip_20_1196
- Digitala utbildningshandlingsplanen, https://education.ec.europa.eu/focus-topics/digital-education/about/digital-educationaction-plan
- Pakt för färdigheter, https://ec.europa.eu/commission/presscorner/detail/en/qanda_20_1197
- Att leda den digitala dekaden, https://ec.europa.eu/commission/presscorner/detail/en/qanda_20_1197
- ENISA, Rättsmedicinsk analys, Webserveranalys, Handbok, Dokument för lärare, 2016, https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/documents/2016-resources/exe3_forensic_analysis_iii-handbook
- Europarådet, Elektroniska bevis i civil- och förvaltningsrättsliga förfaranden, Riktlinjer och förklarande memorandum, 2019, https://rm.coe.int/guidelines-on-electronic-evidence-and-explanatory-memorandum/1680968ab5
BILAGA A:
KOPPLA SAMMAN ECSF MED ANDRA EU-STANDARDER OCH RAMVERK
ECSF är ett ramverk för att stödja den professionella cybersäkerhetsdomänen i EU. Att koppla samman befintliga erkända europeiska strukturer av relevans för EU:s professionella cybersäkerhetsdomän var en avgörande designprincip för ECSF (se avsnitt 2.1).
Följande stycken ger en kort översikt över de huvudsakliga standarderna och ramverken som ECSF ansluter till.
A.1 EN16234-1 E-CF ETT GEMENSAMT EUROPEISKT REFERENSRAMVERK FÖR IKT-PROFESSIONELLA INOM ALLA SEKTORER
Den Europeiska Normen (EN) 16234-1 Europeiska e-Kompetensramverket (e-CF) tillhandahåller en referens av 41 kompetenser som tillämpas på arbetsplatsen inom informations- och kommunikationsteknologi (IKT) med användning av ett standardiserat europeiskt språk för kompetenser, färdigheter, kunskap och kompetensnivåer som kan förstås i hela Europa. Det primära målet med denna standard är att tillhandahålla ett gemensamt europeiskt språk för IKT-relaterade arbetsplatskompetenser, färdigheter, kunskap och kompetensnivåer som krävs och tillämpas av organisationer och professionella. På detta sätt har alla sektorintressenter, inklusive den offentliga och privata sektorn samt individer, tillgång till en gemensam referens.
Standarden etablerades som ett verktyg för att stödja ömsesidig förståelse och tillhandahålla språktransparens genom artikuleringen av de kompetenser som krävs och används av IKT-professionella. Denna standard är strukturerad över flera dimensioner. Dimensionerna återspeglar affärs- och personalplaneringsområden och inkluderar jobb- och arbetskompetensriktlinjer. Dessutom lägger denna standard till en tvärvetenskaplig komponent som tillhandahåller grundläggande generiska IKT-beskrivningar för framgångsrik tillämpning av e-CF-kompetenser i kontexten av en professional’s arbete.
Tabell 4: Översikt över EN16234-1 (e-CF). Källa: CEN 2019
e-CF tillhandahåller konsekventa kopplingar i kontexten av IKT-kvalifikationer och andra relevanta ramverk för sektorn (särskilt EQF, DigComp, Europeiska IKT-professionella rollprofiler, beteendemässiga färdigheter, ESCO, EQANIE, SFIA, grundläggande kunskapsbas för IKT-yrket, ISO och andra IKT-industristandarder).
För varje cybersäkerhetsroll valdes en uppsättning tillämpliga e-CF-kompetenser på tillämpningsnivån som ett integrerat element i profilsbeskrivningen för rollen som cybersäkerhetsprofessionell.
A.2 EUROPEISKA IKT-PROFESSIONELLA ROLLPROFILER
CWA 16458 Europeiska IKT-professionella rollprofiler tillhandahåller en generisk uppsättning av typiska roller som utförs av IKT-professionella i vilken organisation som helst, vilket täcker hela IKT-affärsprocessen. Trettio profiler i totalt erbjuder en sund utgångspunkt och inspiration för skapandet av mer kontextspecifika och flexibla profiler baserade på organisationsroller, individuella jobbeskrivningar eller underdomänspecialiseringar från olika sammanhang. Genom att tillämpa e-CF-kompetenser på konstruktionen av IKT-profiler ger de europeiska IKT-professionella rollprofilerna också ett verktyg och en ingångspunkt för e-CF-tillämpning till individer och organisationer som önskar arbeta med e-CF.
De europeiska IKT-professionella rollprofilerna beskrivs med hjälp av ett konsekvent format som innehåller följande element: en sammanfattningsförklaring, en missionsförklaring, leveranser, huvuduppgifter, e-kompetenser och områden för nyckelprestandaindikatorer (KPI).
Genom att anta de mest lämpliga elementen från det europeiskt överenskomna och praktikdrivna IKT-profilbeskrivningsschemat blir ECSF-profilerna jämförbara och tillhandahåller en unik, lättillgänglig och heltäckande översikt över kraven för europeiska cybersäkerhetsprofessionella.
Dessa detaljerade högkvalitativa profiler har lösa kopplingar till de generiska rollerna som ingår i det övergripande europeiska uppsättningen av IKT-professionella profiler. Ur ECSF-användarens perspektiv kan förtroende etableras för strukturens hållbarhet genom dess associering med europeiska IKT-profiler, men med fokuserad tillämpning för cybersäkerhetsgemenskapen.
A.3 Europeiska kvalifikationsramverket
EU utvecklade det Europeiska Kvalifikationsramverket (EQF) som ett översättningsverktyg för att göra nationella kvalifikationer lättare att förstå och mer jämförbara. EQF syftar till att stödja gränsöverskridande rörlighet för elever och arbetstagare samt att främja livslångt lärande och professionell utveckling över hela Europa.
EQF är ett 8-nivåers ramverk baserat på lärande utfall för alla typer av kvalifikationer. Det fungerar som ett översättningsverktyg mellan de olika nationella kvalifikationsramverken. Detta ramverk hjälper till att förbättra transparensen, jämförbarheten och portabiliteten av människors kvalifikationer och gör det möjligt att jämföra kvalifikationer från olika länder och institutioner.
EQF täcker alla typer och alla nivåer av kvalifikationer och användningen av lärande utfall gör det klart vad en person vet, förstår och kan göra. Nivån ökar enligt lärandenivån, där nivå 1 är den lägsta och 8 den högsta nivån. Det mest betydelsefulla är att EQF är nära kopplad till nationella kvalifikationsramar, så det ger en omfattande karta över alla typer och nivåer av kvalifikationer i Europa, som alltmer är tillgängliga genom kvalifikationsdatabaser. EQF inrättades 2008 och reviderades senare 2017.
ECSF-profilerna innehåller e-CF-kompetenser och e-CF-nivåuppdrag, vilka tillhandahåller en konsekvent länk med EQF-nivåer (se avsnitt 3.2). Denna orienterande relation ger en bro i förståelsen mellan tillhandahållandet av utbildningsprogram och arbetsplatskrav.
A.4 ESCO – Europeisk klassificering av färdigheter, kompetenser och yrken
ESCO är den flerspråkiga klassificeringen av europeiska färdigheter, kompetenser, kvalifikationer och yrken. Huvudsyftet med ESCO är att tillhandahålla ett lexikon, som beskriver, identifierar och klassificerar professionella yrken och färdigheter relevanta för EU:s arbetsmarknad, utbildning och träning och systematiskt visar relationerna mellan dessa yrken och färdigheter. ESCO hanteras av Europeiska kommissionen, som ansvarar för uppdateringen av klassificeringen. ESCO-resursen stöder två av EU:s nyckelstrategier inom området, Europa 2020 och Färdighetsagendan för Europa.
Målet med ESCO är att beskriva alla yrken på den europeiska arbetsmarknaden, vilket inkluderar cybersäkerhet. Det är därför användbart att etablera en orienterande kartläggning mellan ECSF-rollprofilerna och några av ESCO-profilerna.
I tabell 5 listas flera cybersäkerhetsrelaterade ESCO-yrken tillsammans med en indikativ kartläggning till ECSF-rollprofiler. Eftersom relationen mellan dem inte alltid är en-till-en, definierades följande relationer för att förklara de motsvarande sambanden:
- är – Detta ESCO-yrke kan kartläggas till motsvarande ECSF-rollprofil eftersom båda beskriver samma cybersäkerhetsroll.
- kan inkludera – Detta ESCO-yrke kan inkludera, baserat på kontexten, den listade ECSF-rollprofilen. (Detta är en indikativ kartläggning.)
- kan vara inkluderad – Vissa aspekter av detta ESCO-yrke kan beskriva delar av den listade ECSF-rollprofilen. (Detta är en indikativ kartläggning.)
Tabell 5: ESCO-profilerna och relationerna till ECSF-profilerna
ESCO-kod | ESCO-yrke | Relation | ECSF-rollprofil |
---|---|---|---|
2149.2.8 | Forskningsingenjör | kan inkludera | Cybersäkerhetsforskare |
2310.1 | Föreläsare inom högre utbildning | kan inkludera | Cybersäkerhetsutbildare |
2356 | IT-utbildare | kan inkludera | Cybersäkerhetsutbildare |
2511.18 | IT-revisor | kan inkludera | Cybersäkerhetsrevisor |
2519.2 | Chef för IT-revision | kan inkludera | Cybersäkerhetsrevisor |
2529.1 | Huvudansvarig för ICT-säkerhet | är | Chief Information Security Officer (CISO) |
2529.2 | Expert på digital forensik | är | Digital Forensiksutredare |
2529.3 | Säkerhetsingenjör för inbäddade system | kan vara inkluderad | Cybersäkerhetsimplementerare |
2529.4 | Etisk hacker | är | Penetrationstestare |
2529.6 | ICT-säkerhetsadministratör | kan vara inkluderad | Cybersäkerhetsimplementerare |
2529.7 | ICT-säkerhetsingenjör | kan vara inkluderad | Cybersäkerhetsarkitekt |
2529.7 | ICT-säkerhetsingenjör | kan vara inkluderad | Cybersäkerhetsimplementerare |
2619.4 | Dataskyddsombud | är | Cyber Juridisk, Policy & Efterlevnadsansvarig |
Viktig notering: Relationen mellan ESCO-yrket och ECSF-rollprofilen representerar inte en ekvivalens; den erbjuder en bästa möjliga approximation som läsarna kanske vill undersöka.
Källa: CWA 16458 Europeiska IKT-professionella rollprofiler
Beskrivning av de åtta EQF-nivåerna
Nationella kvalifikationsramverk (NQF)
EUR-Lex – rättslig text
BILAGA B:
ANVÄNDNINGSFALL
Ett användningsfall visar varför och hur en organisation använder ECSF, med betoning på mångfalden av angreppssätt och fördelar. Denna bilaga är en samling av fall som var offentligt tillgängliga den 20 juli 2022.
Följande användningsfall är endast illustrativa exempel. Informationen och innehållet i dessa fall bör inte ses som ett godkännande eller en valideringsförklaring från ENISA. Användningen av dessa exempel bör ses som inspirerande fall snarare än som styrande grundlinjer eller referenspunkter för jämförelser.
B.1 ANVÄNDNINGSFALL FRÅN CONCORDIA H2020-PROJEKTET
Detta avsnitt inkluderar delar från användningsfallet skrivet av CONCORDIA H2020-projektet.
Mot en integrerad plattform för färdigheter inom cybersäkerhet baserad på det Europeiska Cybersäkerhetskompetensramverket
Svårt att förstå den stora bilden av utbildningar
Behovet av att skydda sig mot hot mot information och operationer, att upprätthålla en organisations cybersäkerhetsställning och att öka motståndskraften mot sådana hot, känns fortfarande brådskande av alla intressenter. En kärnkomponent för att uppfylla dessa behov är existensen av professionella med kompetens inom cybersäkerhet. Och kompetens inom cybersäkerhet behövs inte bara för de dedikerade professionella (externa eller interna till en organisation) utan även för alla anställda i en organisation, även om de inte är direkt involverade i cybersäkerhetsprocesser och aktiviteter.
När det kommer till cybersäkerhetsprofessionella rapporterar olika publikationer fortfarande en kompetensbrist inom cybersäkerhet, och påpekar att de tre främsta kompetenserna som saknas eller inte täcks tillräckligt av de befintliga professionella varierar från ett år till ett annat. Å andra sidan erbjuds en betydande mängd kurser och utbildningar relaterade till cybersäkerhet av olika europeiska och internationella organisationer. En enkel sökning på internet kommer att avslöja många kurser relaterade till cybersäkerhetsdomänen, utan att ge en tydlig bild av vilka kompetenser som erbjuds eller hur de kan relatera till en specifik roll. För att förvärra denna förvirring finns det utbildningskurser som verkar rikta sig till en specifik roll (t.ex. CISO), har liknande titlar men olika läroplaner. Därför är informationen i flera fall förvirrande för den som utbildar sig om vad och hur de bör uppfatta cybersäkerhetskoncept, samt hur de ska använda dem för att täcka sina professionella behov. Dessutom marknadsförs kurser för professionella på en mängd olika plattformar och det är svårt att jämföra dem med avseende på de kompetenser som täcks och den rollprofil som adresseras. Detta gör det svårt för en individ att bygga en tydlig karriärväg och identifiera utvecklingsmöjligheter.
CONCORDIA-kartan över kurser för cybersäkerhetsprofessionella
I ett försök att ta itu med dessa utmaningar har vi byggt CONCORDIA-kartan över kurser och utbildningar för cybersäkerhetsprofessionella. Kartan visar strukturerad information om befintligt europeiskt erbjudande för kortkurser/utbildningar och tillhandahåller olika filter för att hjälpa till att enklare matcha det specifika behovet av kompetensutveckling med utbudet. […]
Man kan välja att sortera kurserna baserat på den adresserade cybersäkerhetsnivån (Enhet-, Nätverk-, Mjukvara/System, Data/Applikation-, Användarcentrerad), eller utifrån relevans för en industriell sektor (t.ex. Telekom, Finans, Transport e-mobilitet, e-Hälsa eller Försvar), men också baserat på formatet (ansikte mot ansikte, online, blandat) och kursernas/utbildningarnas tidsram.
En saknad nyckelingrediens – Lösning möjliggjord av ECSF
Även om vi erbjuder på CONCORDIA-kartan en stor mängd filter för att hjälpa användarna att enklare identifiera intressanta kurser, saknar databasen en nyckelingrediens – länkar till rollprofiler som varje kurs adresserar genom den kunskap och de färdigheter som täcks. Det europeiska kompetensramverket för IKT-professionella (e-CF) som fanns tillgängligt vid tidpunkten för kartans uppbyggnad definierar 30 rollprofiler och 40 associerade kompetenser, men de är svåra att koppla till cybersäkerhetsdomänens specifika behov.
Detta var en utmaning i cybersäkerhetsutbildningsekosystemet som vi redan för två år sedan uppmärksammade och dokumenterade i CONCORDIA:s utbildningsvägledning under rubriken C5: Olikhet i terminologi relaterad till kompetenser. Denna brist på en tvärsektoriell och tvärindustriell överenskommen terminologi relaterad till de cybersäkerhetsfärdigheter som behövs för en specifik roll gör det svårt för företag att fylla öppna positioner. De finner det svårt att matcha rekryteringskriterierna med studierna och kvalifikationerna som anges i sökandes CV på grund av användningen av icke-standardiserad terminologi. Individer kan i sin tur inte enkelt identifiera de färdigheter de behöver inneha eller utveckla för att matcha marknadens efterfrågan. Och slutligen har kursleverantörer svårigheter att utforma läroplaner som svarar mot marknadens behov.
Som en del av CONCORDIA:s färdplan lovade vi för en enda plattform som innehåller alla befintliga program relaterade till cybersäkerhet (universitetsnivå och doktorandprogram, kortkurser och utbildningar för professionella). […]
Plattformen bör överväga att samla innehållet genom att använda kategorier baserade på standardterminologi (inklusive specifikt färdighetsramverk). Kategorierna skulle ytterligare användas som filter för olika förfrågningar i kursdatabasen. De 12 rollprofilerna som definieras i den aktuella versionen av det Europeiska Cybersäkerhetskompetensramverket (ECSF) verkar vara en naturlig lösning.
Fördelen för intressenter
Antagandet av en standardiserad lexikon som den som föreslås av ECSF, inklusive cybersäkerhetsrollprofiler, kommer att hjälpa företag att identifiera rätt talang för jobben samt utbildningsleverantörer att bättre forma sina läroplaner för att matcha cybersäkerhetsarbetskraftens behov. Genom att tillämpa samma terminologi och använda ett EU-omfattande kompetensram
Mot en integrerad plattform för färdigheter
Byggande på CONCORDIA-databasen över kurser och utbildningar för cybersäkerhetsprofessionella, försöker REWIRE-projektet att ta ytterligare steg mot integration av relevant innehåll relaterat till cybersäkerhetskompetenser. REWIRE CyberABILITY-plattformen – som för närvarande är under designfas – kommer att tillhandahålla aktuell information om arbetsmarknaden, kompetenser, utbildningskurser, certifieringsscheman och en karriärväg.
B.2 ANVÄNDNINGSFALL FRÅN SPARTA H2020-PROJEKTET
Detta avsnitt inkluderar delar från användningsfallet skrivet av SPARTA H2020-projektet.
Förbättring av högre utbildning med hjälp av ECSF och SPARTA Curricula Designer
Introduktion
Detta användningsfall ger rekommendationer om hur ECSF kan användas för att forma utbildningsprogram som är kopplade till cybersäkerhet. Eftersom ECSF manifesterar strukturen av högnivåprofiler ur praktikers synvinkel, inklusive huvuduppgifter, relevant kunskap och färdigheter, kan detta ge en mer fokuserad strategi för att bygga specialiserade och omfattande studieprogram, skräddarsydda för specifika profiler, istället för att täcka cybersäkerhet i allmänhet.
Utmaning
Utbildningsinstitutioner utformar sina läroplaner med tanke på hela vägen – från de grundläggande kurserna som studenten måste lära sig som grund för nästa uppsättning av följd kurser, som ofta är specifika för cybersäkerhet. Dock är valet av kurser som ska ingå i cybersäkerhetsläroplanen upp till institutionen.
Varje utbildningsinstitution har sin egen specifika miljö (bestämd av t.ex. infrastruktur, utrustning, lärarnas expertis, befintliga program osv.) och det finns inget universellt sätt hur läroplanen bör konstrueras.
Utbildningsleverantörer skiljer sig åt i vilket konkret delområde av cybersäkerhet de vill fokusera på. Vissa leverantörer är mycket tekniska, med fokus på t.ex. datavetenskap, vissa mer samhällsinriktade, med fokus på juridiska och samhälleliga aspekter. Därför är interoperabilitet mellan de resulterande studieprogrammen och ett gemensamt språk för närvarande en betydande utmaning.
Vissa akademiska program bygger inte färdigheter och kompetenser som förbereder studenter för specifika arbetsroller som finns på arbetsmarknaden. Detta utgör en utmaning för studenter som inte förstår vilka yrkesmöjligheter som finns vid slutet av deras studier.
Lösning möjliggjord av ECSF
ECSF kan bidra till följande aktiviteter som adresserar ovanstående utmaningar:
- Utvärdering: Beskrivning av profiler tillåter institutioner att granska sina läroplaner på ett strukturerat och systematiskt sätt, förstå praktikernas synvinkel. Detta möjliggör förståelse för vilken profil institutionen främst riktar sina examinerade mot.
- Förbättring: Kan göras baserat på utvärderingsövningen. Detta är särskilt viktigt med tanke på uppsättningen kunskaper/färdigheter som tillskrivs en specifik profil.
- Fokus: Den utbildning som universitet erbjuder kan skilja sig åt i hur de adresserar kärnkompetenser. Vissa kan vara mer inriktade på specifika teknologiska kurser, vissa på lagstiftning, andra på forensik osv. Genom att ha ECSF att arbeta med kan de kartlägga sina kärnkompetenser till olika kursområden, viktiga för definierade profiler. Detta möjliggör för institutionen att utveckla mer effektiva riktade program internt kring huvudkompetenserna.
- Samarbete: ECSF ger utbildningsleverantörerna ett gemensamt språk och vokabulär för att beskriva sina kurser, skapa gemensamma program och möjliggöra rörlighet för studenter.
När ECSF tillämpas på cybersäkerhetsutbildning rekommenderas följande tillvägagångssätt:
- Kurser i läroplaner kan klassificeras som antingen grundläggande eller cybersäkerhetsrelaterade. Grundläggande kurser är de som kanske inte är direkt länkade till ECSF, men som tjänar som en förutsättning för senare studier. Till exempel är grundläggande kryptologi en förutsättning för kryptoanalys eller avancerad kryptologi; talteori är nödvändig för de flesta mellanliggande och avancerade datorkurser.
- När de grundläggande kurserna har identifierats kan cybersäkerhetskursen föreslås för att uppfylla kraven för arbetsroller som studenterna siktar på. Kopplingen uppnås baserat på innehållet i individuella kurser, som kan kopplas till profilerna och slutligen till arbetsroller. De konkreta stegen, […], är:
- a. För en specifik arbetsroll 1 hittar utbildningsleverantörerna relevanta profiler (Profil 1 och Profil 12 i vårt exempel). Denna kartläggning, markerad med bruna pilar, bör specificeras av jobbannonsörer/arbetsgivare.
- b. Utbildningsleverantörer identifierar nödvändig kunskap och färdigheter för utvalda profiler. Dessa krav definieras av ECSF, markerat med blå pilar.
- c. Utbildningsleverantörer designar nya eller återanvänder befintliga kurser (i vårt exempel kurser 1, 2, 3, 4) som adresserar den kunskap och färdigheter som identifierats i steget ovan. Denna kartläggning mellan kurser och deras innehåll måste göras av kursadministratörer.
- d. Med alla nödvändiga kurser (och alla förutsättningar för dem, allmänna icke-cybersäkerhetskurs, andra kurser för att bredda studenternas omfång osv.) är kärnan i läroplanen klar.
- Självklart kan ECSF också tillämpas på precis motsatt sätt: först komponera läroplanen från enskilda kurser, analysera den kunskap och färdigheter som tillhandahålls, använda ECSF för att identifiera profiler och slutligen hitta de arbetsroller som stöds av läroplanen. Denna kartläggning avslöjar vilken exakt kunskap och färdigheter som redan finns i läroplanerna eller, å andra sidan, vad som saknas och bör betonas eller läggas till i kurserna. På detta sätt hjälper ECSF till att strukturera läroplanerna för en bättre passform med de förväntade profilerna och jobbrollerna.
Resultat / tillagt värde av SPARTA
SPARTA-projektet använde ett ramverk för cybersäkerhetskompetenser för att skapa ett gratis verktyg som kallas Cybersecurity Curricula Designer. Det är en enkel webbapplikation som hjälper utbildningsleverantörer att skapa nya studieprogram inom cybersäkerhet och/eller analysera befintliga studieprogram utifrån deras innehåll och dess återspegling av jobbkrav inom cybersäkerhet.
Verktyget gör det möjligt för studieprogramsadministratörer att komponera sitt studieprogram genom att dra och släppa kurser från den vänstra sektionen till den mellersta sektionen. Kurserna, från vilka administratörer utvecklar studieprogrammen, kan vara antingen fördefinierade eller anpassade. Medan studieprogrammet komponeras visas statistiska data om dess innehåll i den högra sektionen. Utöver annan data tillhandahålls information om vilka kompetenser och arbetsroller som stöds av programmet. Genom att använda verktyget är det enkelt att ta reda på vilket innehåll som saknas i studieprogrammet och vilka specifika arbetsroller som passar bäst för programmets examinerade. I detta fall är ramverket för cybersäkerhetskompetenser kärnan i applikationerna, vilket möjliggör kopplingen av färdigheter och kunskaper med jobbroller. […]
Användningsfall från INCIBE
Introduktion
Effektiviteten i att skydda ett land beror till stor del på dess invånares förmågor, och uppskattningar i detta avseende är att Spanien till 2022 skulle kunna nå en arbetsstyrka inom cybersäkerhet på nästan 122,284 arbetare med en talanggap uppskattad till 24,119. Följaktligen är en av de högsta prioriteringarna för administrationen idag att möta utmaningen att identifiera, attrahera, utveckla och behålla talang inom olika områden av cybersäkerhet.
Ett bevis på detta åtagande är utvecklingen av den spanska regeringens nationella cybersäkerhetsstrategi 2019, som betonar behovet inte bara att ha ett försvars- och skyddsförhållande för företag och medborgare, utan också att stödja cybersäkerhetsindustrins förstärkning, erkännande av den nyckelroll som cybersäkerhet spelar i det nuvarande transformations- och osäkerhetsmiljön och den möjlighet det erbjuder att öka Spaniens konkurrenskraft. I linje med mål 4 i strategin, betonar handlingslinje 5 vikten av att främja den spanska cybersäkerhetsindustrin, utöver generationen och behållningen av talang för att stärka den digitala autonomi.
Å andra sidan syftar den digitala Spanien 2025-planen till att förstärka hävstängerna som kommer att underlätta en återgång till ekonomisk tillväxtväg, och en av dess strategiska axlar är att stärka Spaniens cybersäkerhetskapacitet för att minska risker och öka förtroendet på vägen mot en digital och hållbar ekonomi.
I dess strategiska axel 4, som är monografiskt tillägnad cybersäkerhet, införlivas de åtgärder som utgör INCIBE:s tre huvudhandlingslinjer för de kommande åren: att öka cybersäkerhetsförmågan hos medborgare och företag; att främja det spanska cybersäkerhetsekosystemet runt dess industri, FoU&I och cybersäkerhetstalang; och att konsolidera Spanien som en internationell nod i sektorn. Spanien Digital 2025 erkänner redan den nyckelroll som cybersäkerhetstalang spelar som en drivkraft för sektorn.
Dessa nationella initiativ skapar ett lämpligt scenario som gynnar forskning, innovation och involverar de mest relevanta aktörerna i värdekedjan, såsom utbildningsinstitutioner och organisationer, så att de ser fördelen med att hantera kunskapen, förmågorna och de teknologiska erfarenheterna som svarar mot de stora utmaningar som landet står inför inom cybersäkerhet.
För sin del har det spanska nationella institutet för cybersäkerhet (INCIBE), ett företag under ministeriet för ekonomiska frågor och digital omvandling, genom statssekreteraren för digitalisering och artificiell intelligens; och referensentiteten för utvecklingen av cybersäkerhet och digitalt förtroende för medborgare och företag, samt det spanska akademiska och forskningsnätverket (RedIRIS), uppdraget att förbättra cybersäkerheten och det digitala förtroendet för medborgare, minderåriga och privata företag i Spanien.
Dessutom innefattar dess uppdrag skyddet och försvaret av dessa grupper, främjandet av den spanska industrin och FoU&I inom cybersäkerhet, samt identifieringen, skapandet och attraktionen av talang till cybersäkerhetssektorn.
Cybersäkerhetstalang är därför en hörnsten i INCIBE:s åtgärder. Utan talang är det omöjligt att utveckla en stark industri eller de högvärdelösningar som behövs för att delta i en mycket konkurrenskraftig marknad som cybersäkerhet.
Dock var informationen som hittills varit tillgänglig om talangläget inom cybersäkerhetssektorn i Spanien varierad och fragmenterad, från olika källor, vilket hindrade en djupare förståelse av miljön som krävs för att kanalisera åtgärder. […]
Det är därför INCIBE i mars 2022 publicerar resultaten av en analys och diagnos av cybersäkerhetstalang på nationell nivå, vars process har genomförts genom rigorösa analytiska premisser, ett globalt arbetsansats och deltagande och inkluderande processer som har tagit hänsyn till de huvudsakliga aktörerna i cybersäkerhetsekosystemet. […]
Utmaningen
Rekommendationerna som härleds från detta analysprojekt är utgångspunkten för att säkerställa en robust och lönsam cybersäkerhetsindustri som kännetecknas av att sätta människors talang i centrum för initiativen. I detta avseende kan hela cybersäkerhetsvärdekedjan se denna studie som en möjlighet att ytterligare ansluta sig till och bättre förstå cybersäkerhetstalangen i Spanien.
Det är därför nödvändigt att strukturera och implementera effektiva metoder som påverkar hanteringen av denna specifika typ av talang i organisationer. Cybersäkerhetens betydelse för organisationers överlevnad kräver behovet att ta itu med problemet att identifiera denna typ av specifik talang inom cybersäkerhet, utvecklingen av rekryterings- och introduktionsprocessen, samt antagandet av åtgärder som bidrar till att förbättra hanteringen och minska talangdräneringen.
Av denna anledning är främjandet av nationella politik, samordnad från administrationen som fokuserar på att stärka och främja initiativ för att göra cybersäkerhet till en strategisk prioritet i organisationer, samt strukturering och utformning av en utbildningsväg för utövandet av cybersäkerhet som en professionell aktivitet prioriteringar som både organisationer och rekryteringsföretag kommer att etablera i sina åtgärder för identifiering, attraktion, rekrytering och hantering av cybersäkerhetstalang.
På detta sätt fastställs en uppsättning rekommendationer som denna typ av aktörer (offentlig förvaltning, rekryteringsföretag och andra organisationer) kan implementera för att öka cybersäkerhetstalangen i Spanien och som utgör startpunkten för att lösa de utmaningar som finns framför oss i detta avseende. […]
Lösning möjliggjord av ECSF
Det finns flera faktorer (politiska, ekonomiska, sociala, teknologiska, juridiska, etc.) som kan påverka cybersäkerhetsindustrin och följaktligen bristen på talang, luckor och i allmänhet en obalans mellan utbud och efterfrågan.
En av dessa relevanta faktorer i Europeiska unionen är bristen på standardisering av definitionen av cybersäkerhetsroller och färdigheter associerade med dessa roller.
Ge en grund för kontinuerlig kommunikation mellan olika intressenter (regering, industri, akademi, politiska beslutsfattare och medborgare).
Denna typ av verktyg tjänar som grund för en mer kompetent och komplett arbetsstyrka som förstår samma språk som andra yrkesverksamma på europeisk nivå. […]
Resultat / tillagt värde
Därför har två initiativ lanserats på nationell nivå i det presenterade sammanhanget, vilka kommer att ge värde till ECSF utvecklad av ENISA och som kommer att vara mycket användbara. […]
Båda initiativen, koordinerade med varandra, kommer att inkorporera ECSF som ett homogent ramverk för definitionen av cybersäkerhetsprofiler, vilket kommer att möjliggöra för Spanien att uppnå sina talangmål och vara i linje med resten av länderna på europeisk nivå. […]
Mot en harmoniserad utbildningsansats med det europeiska ramverket för cybersäkerhetskompetenser (ECSF)
ECSO har sedan 2016 arbetat med utbildning, träning och färdigheter inom sin WG5 och har direkt bevittnat de utmaningar som fragmenteringen och de splittrade ansatserna inom cybersäkerhet medför idag. I detta blogginlägg reflekterar ECSO över de befintliga europeiska ansatserna till utbildning och kompetenshöjning och fokuserar på ENISAs Europeiska ramverk för cybersäkerhetskompetenser (ECSF).
Utbildning är inte bara en nationell fråga. Det är också inneboende kopplat till samarbete mellan nationella enheter, den bredare cybersäkerhetsgemenskapen och europeiska organ. Med detta i åtanke är samarbete nyckeln när man tar fram paneuropeiska tillvägagångssätt för att harmonisera cybersäkerhetsutbildningsläroplaner och hantera färdighetsgapet, eller mer konkret, arbetskraftsbristen.
Det finns gott om möjligheter att utnyttja det europeiska cybersäkerhetssamfundets samarbetsanda för att leverera praktiska lösningar och initiativ som kan ha en effekt ”på marken”, och ENISAs Europeiska ramverk för cybersäkerhetskompetenser (ECSF) kan spela en stor roll i detta avseende.
Cybersäkerhetsutbildning: en ECSO-perspektiv
Ur perspektivet av European Cyber Security Organisation (ECSO), som representativ organ för det europeiska cybersäkerhetsekosystemet och gemenskapen (offentligt-privat), är det potentiella värdet av ECSF betydande när det gäller att länka befintliga ansträngningar, tillhandahålla grundläggande element för en europeisk arbetskraft inom cybersäkerhet och leverera ett gemensamt ramverk och taxonomi för tillämpning av profiler och färdigheter. Cybersäkerhetsprofessionella, utbildnings- och träningsleverantörer, beslutsfattare och rekryteringsprofessionella, likväl, har mycket att vinna på en bredare implementering av ECSF.
Utmaningen
Det är uppenbart att det finns ett växande behov av en skicklig arbetskraft inom cybersäkerhet. Olika studier från både industrin och akademin världen över bekräftar att efterfrågan på arbetskraft inom cybersäkerhet är mycket hög och att det är svårt att anställa kompetenta yrkesverksamma. 2021 års upplaga av den årliga studien om arbetskraft inom cybersäkerhet publicerad av ECSO-medlemmen (ISC)² påstår att bristen på cybersäkerhetsprofessionella globalt är 2,72 miljoner, vilket även om det har minskat från 3,12 miljoner året innan, fortfarande är ett betydande antal. Även om dessa studier erbjuder en grund för att bedöma den globala situationen, är verkligheten den att det är mycket svårt att kvantifiera omfattningen av bristen på talang inom cybersäkerhet i Europa. Vi vet att efterfrågan på experter oundvikligen kommer att öka på grund av tillväxten på cybersäkerhetsmarknaden och den regulatoriska landskapet, vilket lämnar ett akut gap att fylla med fler (och olika typer av) experter. […]
Men det handlar inte bara om antal. Genom en nyligen genomförd ECSO-studie om HR-rekryteringspraxis och trender har ECSO också observerat en ökning av den tid det i genomsnitt tar för organisationer att fylla sina cybersäkerhetspositioner. Många organisationer anger att rekryteringsprocessen kan ta upp till sex månader, vilket är långsammare än i andra kunskapsdomäner, medan andra säger att de har svårigheter att fylla sina cybersäkerhetspositioner över huvud taget. Detta indikerar tydligt att det finns en obalans mellan utbud och efterfrågan (dvs. klyftan mellan akademiska krav och industrins krav) och push/pull-faktorer (dvs. kandidatens lämplighet och bedömning, attraktion till jobb och förmåner). Huvudproblemet för arbetsgivare kvarstår dock den allmänna bristen, globalt, på cybersäkerhetsspecialister, medan efterfrågan ständigt ökar. Flera organisationer lyfter också fram komplexiteten i att anställa experter inom ett område som de inte behärskar. ECSO:s undersökning indikerade också att som en växande trend berikar flera kandidater, trots brist på betydande cybersäkerhetsfärdigheter, fortfarande sitt CV med cybersäkerhetskoncept och nyckelord.
Dessa utmaningar belyser tydligt behovet av ett gemensamt språk för att stödja rekryteringsinsatser och vikten av att beakta den mångdisciplinära naturen hos cybersäkerhet som är så unik för fältet jämfört med de mer traditionella IT/ICT-yrkena. Medan befintliga ramverk såsom NICE, CyBoK och eCF ger användbara riktlinjer för färdighetsutveckling, har ett europeiskt ramverk som tillhandahåller en övergripande profiltaxonomi och karriärvägar inom cybersäkerhet saknats. Lanseringen av ECSF är därför mycket läglig och grundläggande för att stödja den europeiska cybersäkerhetsgemenskapen i att locka till sig, utbilda och omskola experter.
Det finns en lösning
ECSO kommer att tillämpa ECSF på flera sätt för att öka dess användning och utnyttja dess potential för att harmonisera cybersäkerhetsutbildning och färdigheter i Europa. ECSO kommer att:
- Kartlägga sitt Minimum Reference Curriculum mot ECSF, vilket ger kursdesigners och praktiker en första inblick i hur de bäst definierar sina läroplaner mot dedikerade karriärvägar. Detta kommer att bidra till att säkerställa att universitetskursen adekvat speglar verkligheten i cybersäkerhetsjobbmarknadens behov samtidigt som det möjliggör en kontinuerlig uppdatering av läroplanen.
- Använda ECSF och den tillhörande användarmanualen för att stödja HR/rekrytering vid utformning av jobbannonser och organisation av praktiska färdighetstestnings-/utvärderingsförfaranden. Vi kommer också att genomföra en uppföljande HR-undersökning med hjälp av ECSF:s jobbprofiler för att förstå vilka roller som mest efterfrågas av organisationer och successivt bygga upp en kvantitativ förståelse för den europeiska cybersäkerhetsjobbmarknaden.
- Använda ECSF som bas taxonomi för två dedikerade plattformar som planeras av Women4Cyber Foundation och ECSO […]
Resultat och mervärde
Mervärdet av ECSF för den europeiska cybersäkerhetsgemenskapen är först och främst att ha ett gemensamt ramverk och en taxonomi att arbeta med. Detta kommer att leda till en bättre förståelse för behoven av färdigheter och de praktiska realiteterna för olika jobbprofiler, vilket kommer att förbättra cybersäkerhetsarbetskraften, inte bara genom effektivare rekryterings- och bibehållningsåtgärder, utan även genom att underlätta för fler kvinnor och andra underrepresenterade grupper (dvs. neurodiversa) att träda in eller återinträda i fältet. ECSF, genom att belysa de tekniska och icke-tekniska aspekterna av olika profiler, kommer att bidra till att avlägsna missuppfattningen att cybersäkerhet endast är ett tekniskt ämne, när det lika mycket handlar om människor och processer. I detta avseende kommer betoningen på vikten av mjuka (överförbara) färdigheter i domänen att bidra väsentligt till att locka fler kvinnor till cybersäkerhetsyrket. ECSF kommer också att minska fragmenteringen av tillvägagångssätt genom att införa top-down-riktlinjer för hur man kategoriserar den mångfacetterade naturen av cybersäkerhetsyrket. Profilerna som föreslås av ECSF är tillräckligt breda för att kunna stödja de många roller som yrket har att erbjuda samtidigt som de är segmenterade på ett sätt som gör dem förståeliga och tillämpliga för praktiker, branschexperter, beslutsfattare, rekryteringsspecialister och arbetssökande.
På ECSO är vi övertygade om att ECSF kommer att tillföra betydande värde till vårt arbete och stödja det bredare samhället med ett konkret verktyg för att harmonisera ansträngningarna och överbrygga klyftan mellan efterfrågan och utbud av experter.
Användning av (ISC)² CISSP CBK för att stödja det europeiska ramverket för cybersäkerhetskompetenser / Cybersäkerhetsprofessionella gemenskaper
Introduktion
(ISC)² CISSP CBK – ibland enbart kallat ”Kunskapskroppen” – hänvisar till en av yrkeskollegor utvecklad sammanställning av vad en kompetent cybersäkerhetsprofessionell måste identifiera och inneha, inklusive kunskap, färdigheter, förmågor, tekniker och metoder för att vara framgångsrik. (ISC)² CBK är en samling ämnen relevanta för cybersäkerhetsprofessionella över hela världen. Det fastställer ett gemensamt ramverk av informationssäkerhetstermer och principer som möjliggör för cybersäkerhets- och IT/IKT-professionella världen över att diskutera, debattera och lösa frågor relaterade till yrket med en gemensam förståelse, taxonomi och lexikon. (ISC)² grundades delvis för att samla, standardisera och underhålla (ISC)² CBK för cybersäkerhetsprofessionella världen över. (ISC)2 CBK presenterar en färdig resurs för nuvarande och blivande cybersäkerhetsprofessionella att anta inom ramen för ECSF.
Utmaningen
Som ENISA beskriver i sin nyligen publicerade rapport “Addressing The EU Cybersecurity Skills Shortage And Gap Through Higher Education”, är global brist på cybersäkerhetskunskaper och avsaknaden av en tillräckligt kvalificerad arbetskraft bekymmer som har en betydande inverkan på EU-medlemsstaternas förmåga att skydda allmänheten från ökande hot som emanerar från det ständigt ökande användandet av teknik i samhället. Trots det arbete som har utförts fortsätter cyberattacker och hotet om cyberattacker att utgöra en betydande risk för allmänhetens säkerhet. Europeiska organisationer kämpar för att adekvat bemanna sina cybersäkerhetsteam. De förhindrbara konsekvenserna – felkonfigurerade system, brådskande utplaceringar, ofullständiga incidentrespons, fördröjd patchning, otillräcklig riskhantering – gör många europeiska organisationer till lockande mål för hotaktörer runt om i världen.
För att möta utmaningarna som presenteras av kompetensgapet och bristen på arbetskraft, föreslår (ISC)² en lösning fokuserad på att hjälpa cybersäkerhetsprofessionella att identifiera och kartlägga nödvändig kunskap, färdigheter, förmågor, tekniker och metoder till profiler identifierade i det Europeiska Ramverket för Cybersäkerhetskompetenser (ECSF). (ISC)² CISSP CBK matchar flera kunskaps- och färdighetsområden i följande ECSF-profiler:
- 2.1 Chief Information Security Officer (CISO)
- 2.2 Cyber Incident Responder
- 2.3 Cyber Legal, Policy & Compliance Officer
- 2.4 Cyber Threat Intelligence Specialist
- 2.5 Cybersecurity Architect
- 2.6 Cybersecurity Auditor
Genom att använda koncepten som täcks i CBK kan professionella som för närvarande arbetar i de ovan listade profilerna eller de som aspirerar på att arbeta i dessa profiler använda de nyckelfärdigheter och kunskapsområden från ECSF-profilerna i kombination med (ISC)² CBK för att bestämma hur CBK uppfyller kunskapen och färdigheterna som krävs för positionen och var de kan behöva komplettera sin utbildning/utbildning från andra källor. Detta kommer att möjliggöra för kandidater att bygga en utbildnings-/utbildningsväg för att uppnå sina mål.
Följande tabell ger ett exempel på hur (ISC)² CISSP CBK kan användas av en nuvarande eller blivande CISO för att identifiera de viktigaste färdigheter och kunskapsområden från ECSF CISO-profilen som de har eller behöver bygga. […]
Resultat / Tillagt värde Den avsedda fördelen med att (ISC)² CISSP CBK matchar ECSF är att det kommer att skapa karriärvägledning och professionella utbildningsvägar för att hjälpa nuvarande och blivande cybersäkerhetsprofessionella att identifiera och erhålla nödvändig professionell kunskap, färdigheter och förmågor för att snabbare kunna erhålla och fylla öppna profiler, som identifierats i ECSF, därigenom mildra den globala bristen på cybersäkerhetsfärdigheter och minska gapet för kvalificerad arbetskraft.
Individuellt karriärbeslut: Professionella certifieringar och Europeiska ramverket för cybersäkerhetskompetenser
Introduktion
Sabine arbetade som SOC-analytiker några år efter att hon tog sin universitetsexamen och var intresserad av att lära sig hur hon bäst kunde främja sin karriär. Hon talade med sin mentor, som rådde henne att ISACA hade varit en utmärkt startpunkt för hans karriär och uppmuntrade henne att undersöka medlemskap och eventuell certifiering. Man måste inse att att gå in i cybersäkerhetsfältet ger möjligheten att arbeta med allt från människor och psykologi via juridik, policy och styrning, ner till den lägsta (eller högsta) tekniska nivån. Utmaningen är att hitta en startpunkt och sedan identifiera vilka specifika kompetenser man kan lära sig och sedan bemästra för att bredda eller till och med övergå mellan olika roller inom cybersäkerhet. ECSF specificerar flera roller med deras kompetenser som behövs för att arbeta inom den specifika rollen. Observera att dessa kompetenser inte är allt som behövs för en specifik roll, utan det absoluta minimumet. Genom att använda detta kan Sabine identifiera kompetensgapet om man vill byta roll eller flytta till ett annat område inom cybersäkerhet.
Utmaning
Som en ny professionell inom ett högt efterfrågat område och som kvinna inom cybersäkerhet, sökte Sabine hjälp inom flera olika områden:
- Karriärvägledning och resurser, inklusive certifieringar, för att hjälpa henne att avancera i sin karriär.
- Ett nätverk av kollegor och branschledare för att hjälpa henne att navigera professionella utmaningar.
- Hjälp med att utveckla mjuka färdigheter för att bli en välavrundad framtida ledare.
- Insikter om att övervinna utmaningar och utnyttja möjligheter som kvinna inom cybersäkerhet.
- Information för att hjälpa henne att utföra sitt nuvarande jobb väl och förbereda sig för framtida utmaningar i högre roller.
Varje individ kan använda ECSF för att se vilka roller som behövs för att hantera nästan alla typer av utmaningar eller uppgifter inom cybersäkerhetsdomänen. Dessutom kan en individ, genom att använda ECSF som en grund, identifiera vilka kompetenser som behövs för att flytta från en roll till en annan. Detta kommer att gynna dialogen mellan anställda och arbetsgivare när det gäller planering av kontinuerlig utbildning inom cybersäkerhetsområdet. Detta kommer också att gynna individer som vill gå in i cybersäkerhetsområdet men är osäkra på var de ska börja. För de flesta individer är det lättare att bygga vidare på tidigare kunskap och kompetenser än att lära sig något helt nytt.
Med målet att bli en C-nivå cybersäkerhetsprofessionell i detta utmanande fält, undersökte Sabine omfattningen av CISO:s ansvar:
Profil 1 CISO Uppdrag
Definierar, underhåller och kommunicerar cybersäkerhetsvisionen, strategin, policyerna och procedurerna och hanterar implementeringen över hela organisationen. Styr cybersäkerhetsrelaterade aktiviteter över hela organisationen. Hanterar länkar/samverkan med externa myndigheter och professionella organ.
Sabines ambition är att identifiera luckor i sina färdigheter för att kunna avancera i sin karriär med lämpligt anpassade certifieringar till nästa nivå.
Sabine forskade på ECSF PROFIL 1 och identifierade luckor i hennes kunskap:
Nyckelkunskaper
- ✔ Kunskap om cybersäkerhets- och integritetsstandarder, ramverk, policyer, regelverk, lagstiftning, certifieringar och bästa praxis
- Förståelse för etiska krav på cybersäkerhetsorganisationer
- ✔ Kunskap om säkerhetskontroller
- Kunskap om mognadsmodeller för cybersäkerhet
- ✔ Kunskap om taktik, tekniker och procedurer för cybersäkerhet
- Kunskap om resurshantering
- Kunskap om ledningspraxis
- Kunskap om riskhanteringsramverk
Sabine beslutade att följa sin mentors råd och delta i ett lokalt ISACA-kapitelmöte för att se om det var rätt för henne. Hon imponerades omedelbart av de möjligheter det erbjöd. Kapitlet välkomnade henne varmt och introducerade henne till flera nyckelpersoner i kapitlet—personer som arbetade i exakt de typer av roller som Sabine sökte och som skulle vara utmärkta mentorer eller sponsorer.
Kapitlets certifieringsordförande informerade Sabine om att Certified Information Security Manager (CISM)-certifieringen skulle passa henne väl, eftersom den visar en välavrundad kunskap om informationssäkerhet samt starka ledarskapsfärdigheter. Certifieringen är avsedd för dem med fem eller fler års erfarenhet, så Sabine beslutade att göra en 18-månadersplan för att studera och erhålla certifieringen.
Hon gick med i ISACA som medlem samma kväll och tog full nytta av de resurser som föreningen erbjöd på både global och lokal nivå. Hon gick med i föreningens onlinegemenskaper, började delta i webbinarier och lokala kapitelmöten som erbjuds genom SheLeadsTech, ett program som erbjuds av ISACAs One in Tech Foundation. Och hon deltog i nästan varje möte som det lokala kapitlet erbjöd.
Bara sex månader in i sitt medlemskap, närmade sig en kollega från kapitlet henne om ett jobb som informationssäkerhetsanalytiker på deras organisation.
Resultat
Sabine har nu varit medlem i ISACA i sju år. Hon tog sin CISM-certifiering och blev snart befordrad till informationsäkerhetschef. Hon är nu informationsäkerhetsdirektör med en klar väg till en CISO-roll.
Utöver att hitta certifieringar och jobb genom ISACA, hittade Sabine också flera resurser som hjälpte henne att lägga till värde till sin organisation. Innan GDPR trädde i kraft kunde Sabine dra nytta av GDPR Resource Hub som erbjuds av ISACA för att hjälpa henne att grundligt förstå situationen och lära sig vilka de viktigaste åtgärderna att vidta var i hennes nuvarande roll.
Intresset och erfarenheten hon fick inom integritet som ett resultat av det projektet gjorde att hon kvalificerade sig för ISACA:s Certified Data Privacy Solutions Engineer (CDPSE)-certifiering genom dess program för tidiga adoptörer.
Hon har presenterat på ISACA-konferenser på kapitel- och nationell nivå – finslipat sina kommunikationsfärdigheter – och hon tog en styrelseposition i kapitlet förra året. Som direktör har hon haft möjlighet att anställa för några positioner, och de flesta av hennes anställningar har kommit från ISACA-kapitlet – precis som hon hittade sin första befordran för sex år sedan. Efter att ha sett värdet av CISM-certifieringen i sin egen karriär har hon börjat erbjuda CISM-certifieringsförberedelser till sitt team genom ISACA:s företagsutbildningserbjudanden.
Sabines nyaste fokusområde när hon förbereder sig för sin CISO-roll är att säkra framväxande teknologier. Med tanke på det ökade regulatoriska fokuset på AI i Europa har hon först riktat sina ansträngningar mot det området och nyligen erhållit ett certifikat i grundläggande AI-kunskaper från ISACA.
Sju år efter att hon gick genom dörrarna till sitt första ISACA-kapitelmöte har Sabine utökat sitt nätverk med hundratals professionella lokalt och tusentals globalt. Hon är en självsäker ledare och talare, och hon är nu mentor till flera andra som en gång var i hennes position. Bland hennes råd till sina mentees är att alltid vara lärande – och att ISACA, som en global inlärningsgemenskap, är en fantastisk resurs.
Sabine har skisserat steg att ta för att nå C-nivån och planerar att inneha en CISO-roll inom fem år. Hon är övertygad om att hennes ISACA-nätverk och certifieringar kommer att vara en betydande fördel när hon strävar efter sina mål.
Karriärväg:
- SOC-analytiker
- Informationssäkerhetsanalytiker
- Informationsäkerhetschef
- Informationsäkerhetsdirektör.
Varför arbetskraftsramverk och certifieringar är viktiga inom cybersäkerhet Direktivet om nätverks- och informationssystem (NIS) II är en uppdatering av det befintliga mandatet för Europeiska unionen. Detta kommer att bidra till att främja ett gemensamt språk inom cybersäkerhet över en bredare del av ekonomin och kräver informationsutbyte mellan medlemsstater och över sektorer. Sådana direktiv ökar i betydelse för att etablera riktlinjer för cyberaktiviteter. För att skydda aktieägarnas värde överväger Securities and Exchange Commission (SEC) en cyberrapport för börsnoterade företag som kräver rapportering om hur deras säkerhetsteam hanterar risker, incidenter och styrelsens cybersäkerhetsexpertis. Rapporten om att minska säkerhetsrisker kommer att kopplas till arbetsrollernas kompetenser.
Ramverk hjälper till att artikulera dessa jobbroller. De flesta jobbannonser var fram till nyligen generiska listningar som sökte cybersäkerhetsprofesionella utan väldefinierade uppgifter, färdigheter eller kunskap om vad som behövs för att skydda organisationens tillgångar. Arbetskraftsramverk som European Cybersecurity Skills Framework (ECSF) börjar standardisera talangen som behövs för positioner som Cyber Incident Responder, Digital Forensics Investigator och Chief Information Security Officer. Standardisering möjliggör för organisationer att identifiera rätt talang för att hantera framtida hot. Detta är i linje med andra yrken. Till exempel har läkare specialiserade områden som radiologer, barnläkare och hjärnkirurger som har den expertis som behövs på sitt område för att tillhandahålla lämplig behandling.
Certifiering spelar en viktig roll för att förbereda människor för specifika jobbroller. Certifiering validerar individen genom att använda bästa praxis och riktlinjer för utbildnings- och psykologisk testning såsom ISO/IEC 17024 International Standards. Ett exempel på en certifiering som anses vara den globala standarden är en Certified Public Accountant (CPA). Arbetslivserfarenhet kan göra någon till en expert, men CPA är baslinjen för en respekterad certifierad professionell och kan även vara ett krav för efterlevnad i specifika projekt eller revisioner.
Några exempel på hur arbetskraftsramverk har hjälpt till att främja cybersäkerhetsindustrin inkluderar:
- Stora teknik- och finansföretag har ofta flera säkerhetsteam som standardiserar sina arbetsroller och krav genom ramverket för att snabbt ompositionera och rotera arbetare baserat på uppdraget.
- Organisationer kan kartlägga sin arbetskrafts erfarenhet och certifieringar för att snabbt matcha personalens färdigheter med projektets krav. Detta är särskilt viktigt för konsultföretag, teknikföretag och entreprenörer.
- Ramverk tillhandahåller ett gemensamt språk i arbetskraften över branscher som teknik, finans, hälsovård, detaljhandel och energi, vilket möjliggör för team att arbeta tillsammans för att skydda mot cyber- och fysiska säkerhetshot.
- Ramverk erbjuder en mall för akademiska institutioner att överbrygga klyftan mellan deras utbildningserbjudanden och de aktuella cybersäkerhetsfärdigheterna som behövs inom branscherna, och förbereder sina studenter för jobb.
SANS och GIAC förstår vikten av ramverk och har anpassat kurser och certifieringar till dessa ramverk. Ramverk är en mall för organisationer att standardisera jobbkrav, även om varje organisation och uppdrag kommer att behöva viss anpassning kopplad till sitt specifika uppdrag. Vi har hjälpt till att designa och implementera program för arbetskraftsutveckling med användning av ramverk som mall för Fortune 500-företag, statliga myndigheter och organisationer av alla storlekar.
Källa: https://www.isaca.org/training-and-events/careers-home/career-pathway/european-cybersecurity-skills-framework-andisaca-credentials
https://www.giac.org/blog/why-workforce-frameworks-certifications-matter-cybersecurity/
Om ENISA
Europeiska unionens byrå för cybersäkerhet, ENISA, är unionens organ som är tillägnat att uppnå en hög gemensam nivå av cybersäkerhet över hela Europa. Grundat 2004 och stärkt genom EU:s cybersäkerhetsakt bidrar Europeiska unionens byrå för cybersäkerhet till EU:s cybersäkerhetspolitik, förbättrar tillförlitligheten hos IKT-produkter, tjänster och processer med cybersäkerhetscertifieringssystem, samarbetar med medlemsstater och EU-organ och hjälper Europa att förbereda sig för morgondagens cyberutmaningar. Genom kunskapsdelning, kapacitetsuppbyggnad och medvetandehöjning arbetar byrån tillsammans med sina viktigaste intressenter för att stärka förtroendet för den uppkopplade ekonomin, öka motståndskraften i unionens infrastruktur och slutligen för att hålla Europas samhälle och medborgare digitalt säkra. Mer information om ENISA och dess arbete finns här: www.enisa.europa.eu.
Kontakt
För att kontakta författarna använd euskills@enisa.europa.eu.
Erkännande
Detta ramverk är resultatet av expertåsikter och överenskommelser i den Ad-Hoc arbetsgruppen för kompetensramverket som består av Agata BEKIER, Vladlena BENSON, Jutta BREYER*, Fabio DI FRANCO, Sara GARCIA, Athanasios GRAMMATOPOULOS, Markku KORKIAKOSKI, Csaba KRASZNAY, Haralambos MOURATIDIS, Christina GEORGHIADOU, Erwin ORYE*, Edmundas PIESARSKAS, Nineta POLEMI*, Paresh RATHOD*, Antonio SANNINO, Fred VAN NOORD, Richard WIDH, Nina OLESEN och Jan HAJNY.
Fabio DI FRANCO och Athanasios GRAMMATOPOULOS ledde denna aktivitet för ENISA.
Rättsligt meddelande
Denna publikation representerar ENISAs åsikter och tolkningar, såvida inte annat anges. Den innebär inte en reglerande skyldighet för ENISA eller för ENISA-organ enligt förordning (EU) nr 2019/881.
ENISA har rätten att ändra, uppdatera eller ta bort publikationen eller något av dess innehåll. Den är avsedd endast för informationsändamål och måste vara tillgänglig utan kostnad. Alla hänvisningar till den eller dess användning som helhet eller delvis måste innehålla ENISA som källa.
Tredjepartskällor citeras där det är lämpligt. ENISA ansvarar inte för innehållet i externa källor inklusive externa webbplatser som refereras i denna publikation.
Varken ENISA eller någon person som handlar på dess vägnar ansvarar för användningen som kan göras av informationen i denna publikation.
ENISA behåller sina immateriella rättigheter i förhållande till denna publikation.
Upphovsrätt
© Europeiska unionens byrå för cybersäkerhet (ENISA), 2022 Denna publikation är licensierad under CC-BY 4.0 ”Såvida inte annat anges, är återanvändning av detta dokument tillåtet under Creative Commons Attribution 4.0 International (CC BY 4.0) licensen https://creativecommons.org/licenses/by/4.0/). Detta innebär att återanvändning är tillåten, förutsatt att lämplig kredit ges och eventuella ändringar anges”.
För all användning eller reproduktion av bilder eller annat material som inte är under ENISAs upphovsrätt måste tillstånd sökas direkt från upphovsrättsinnehavarna.
Rapportör för Ad-Hoc arbetsgruppen för det Europeiska Cybersäkerhetskompetensramverket
ISBN: 978-92-9204-583-8 – DOI: 10.2824/95989