EK odgovara na kibernetički napad na svoju web-platformu Europa

Prošlotjedni kibernetički napad pogodio je infrastrukturu u oblaku koja hostira web-prisutnost Europske komisije na platformi Europa.eu. Europska komisija priopćila je da je sigurnosni tim odmah poduzeo korake kako bi obuzdao napad.

Komisija je navela da je brz odgovor osigurao da incident bude stavljen pod kontrolu te da su provedene mjere za ublažavanje rizika radi zaštite usluga i podataka, bez narušavanja dostupnosti internetskih stranica Europa. Rani nalazi upućuju na to da su podaci preuzeti s tih internetskih stranica.

EK je obavijestio tijela Unije koja su mogla biti pogođena ovim incidentom. Službe Komisije još istražuju puni opseg utjecaja incidenta. Interni sustavi nisu bili pogođeni kibernetičkim napadom.

Sigurnosni tim EK-a nastavit će pratiti situaciju i poduzimati sve potrebne mjere kako bi osigurao sigurnost svojih internih sustava i podataka. Analizirat će incident i rezultate iskoristiti za daljnje jačanje svojih kibernetičkih sposobnosti.

Prema službenom priopćenju Komisije, napad je otkriven 24. ožujka 2026., a 27. ožujka potvrđeno je da su pogođeni javno dostupni web-servisi na platformi Europa.eu, dok dostupnost stranica nije bila prekinuta i interni sustavi nisu bili zahvaćeni. CERT-EU je potom objavio da je o incidentu obaviješten 25. ožujka, u skladu s Uredbom (EU, Euratom) 2023/2841, koja institucijama i tijelima Unije nalaže prijavu značajnih incidenata bez nepotrebnog odgađanja. 

U istom izvješću CERT-EU navodi da je s visokim stupnjem sigurnosti procijenjeno kako je početni pristup ostvaren kroz kompromitaciju opskrbnog lanca alata Trivy, pri čemu je napadač došao do AWS tajne i time dobio pristup dijelu infrastrukture Komisije u oblaku. Prema trenutačnoj analizi, iz kompromitiranog okruženja izvučeno je oko 91,7 GB komprimiranih podataka, uključujući i osobne podatke poput imena, korisničkih oznaka i adresa e-pošte. CERT-EU dodaje da se izvučeni podaci mogu odnositi na do 71 klijenta usluge hostinga Europa, od čega 42 interna klijenta Europske komisije i najmanje 29 drugih tijela Unije. 

Istodobno je naglašeno da nijedna stranica nije bila ugašena ni izmijenjena od strane napadača te da nisu zabilježeni prekidi usluge. Komisija je, prema istom izvoru, obavijestila svojeg voditelja zaštite podataka, potencijalno pogođene službenike za zaštitu podataka drugih tijela te Europskog nadzornika za zaštitu podataka. Ovaj incident dodatno je važan jer CERT-EU ima središnju ulogu u prevenciji, otkrivanju, ublažavanju i odgovoru na kibernetičke napade koji pogađaju institucije, tijela i agencije EU-a. U širem regulatornom kontekstu, 

Komisija je 20. siječnja 2026. predložila ciljane izmjene Direktive NIS2 kako bi povećala pravnu jasnoću i pojednostavnila usklađivanje s pravilima kibernetičke sigurnosti za tvrtke koje posluju u EU-u. Sama NIS2 stupila je na snagu u siječnju 2023., države članice morale su je prenijeti u nacionalno zakonodavstvo do 17. listopada 2024., a od 18. listopada 2024. zamijenila je prethodnu NIS1 direktivu. Zato se napad na platformu Europa ne može promatrati samo kao izolirani sigurnosni incident, nego i kao podsjetnik koliko su za europske javne digitalne servise važni sigurnost opskrbnog lanca, upravljanje identitetima i stalni nadzor nad infrastrukturom u oblaku.