Deterrence in Cyberspace: The Role of EU Regulations in Enhancing the EU's Cyber Deterrence Posture

Abstract

Tato práce zkoumá vliv regulací na kybernetické odstrašování (cyber deterrence), což je oblast, která není v akademické literatuře dostatečně zpracována. Tento vliv je zkoumán s využitím přístupu případové studie zaměřenou na regulace Evropské unie, konkrétně na těchto pět klíčových legislativních aktů: směrnici NIS, směrnici NIS 2, Cybersecurity Act, nařízení (EU) 2021/887 a Cyber Resilience Act. Cílem práce je zodpovědět tuto výzkumnou otázku: "Jak evropské regulace formují odstrašující postoj Evropské unie v oblasti kybernetického odstrašování?" Vybrané legislativní akty jsou analyzovány optikou teorie kybernetického odstrašování a jejich implikace jsou v relevantních případech zařazeny k třem vybraných mechanismů kybernetického odstrašování: trestání (punishment), odepření (denial) a odolnosti (resilience). Zjištění naznačují, že každý z analyzovaných legislativních aktů jedinečně přispívá k odstrašujícímu postoji EU v kyberprostoru. Směrnice NIS 1 a NIS 2, stejně jako Cyber Resilience Act, posilují odstrašování prostřednictvím odepření a odolnosti tím, že nařizují povinné bezpečnostních opatření, plány pro obnovu provozu po útoku a hlášení incidentů, což činí kybernetické útoky obtížněji proveditelnými a méně destruktivními. Podpůrné regulace, jako je Cybersecurity Act a nařízení (EU)...

This thesis explores the impact of regulations on cyber deterrence, addressing a gap in academic literature through a case study on the regulatory framework of the European Union (EU). It focuses on five key legislative acts: the NIS Directive, NIS 2 Directive, CybersecurityAct, Regulation (EU) 2021/887, and Cyber Resilience Act. Specifically, it seeks to answer the research question: "How do regulations of the European Union shape its cyber deterrence posture?" Selected legislative acts are analyzed through the lenses of cyber deterrence theory and, where relevant, their implications are categorized under three chosen mechanisms of cyber deterrence, which are punishment, denial, and resilience. The findings reveal that EU regulations uniquely contribute to its cyber deterrence posture. Both the NIS 1 and NIS 2 Directives, as well as the Cyber Resilience Act, strengthen deterrence by denial and resilience through mandatory security measures, recovery plans, and incident reporting, making cyberattacks harder to execute, less likely to succeed, and less disruptive. Supporting regulations like the Cybersecurity Act and Regulation (EU) 2021/887 enhance these efforts by promoting standardization and innovation. An important observation is also the limited role of deterrence by punishment in the EU's...