W środę Komisja Europejska zaprezentowała nową strategię cyberbezpieczeństwa dla państw członkowskich, której kluczowym elementem będą nowe przepisy mające wzmocnić odporność fizycznych i cyfrowych podmiotów krytycznych.
Celem strategii jest również zwiększenie przywództwa w zakresie międzynarodowych norm i standardów w cyberprzestrzeni oraz wzmocnienie współpracy z zagranicznymi partnerami przy promocji idei otwartej, globalnej i bezpiecznej cyberprzestrzeni opartej na fundamencie praworządności, praw człowieka, podstawowych wolności i wartości demokratycznych.
Najważniejszą częścią nowej strategii cyberbezpieczeństwa UE ma być zmieniona dyrektywa NIS (znana również jako NIS 2), a także dyrektywa o odporności podmiotów krytycznych.
Oba akty prawne dotyczą wiele sektorów i pozwalają na stworzenie spójnej koncepcji zarządzania bezpieczeństwem w cyberprzestrzeni na poziomie krajowym, jak i w ramach całej 27-ki.
Dyrektywa NIS 2 – odporność, suwerenność technologiczna i cyfrowe przywództwo
NIS 2 zreformuje przepisy dotyczące bezpieczeństwa sieci oraz systemów informatycznych. Ma pomóc budowanie wysokiego poziomu cyberbezpieczeństwa w krytycznych sektorach publicznych i prywatnych, takich jak ochrona zdrowia i jej placówki (np. szpitale, laboratoria medyczne), sieci energetyczne, koleje, administracja publiczna, a także infrastruktura krytyczna i jej usługi.
W całej Unii Europejskiej mają powstać centra monitorowania cyberbezpieczeństwa, które będzie wspierała sztuczna inteligencja. Sieć tych placówek ma stanowić prawdziwą “tarczę przed zagrożeniami dla cyberbezpieczeństwa”, która będzie wykrywała zagrożenia odpowiednio wcześnie i umożliwi podejmowanie proaktywnych działań ochronnych. Specjalne wsparcie otrzyma również sektor małych i średnich przedsiębiorstw, które mają wspierać centra innowacji cyfrowych zajmujące się m.in. podwyższaniem kwalifikacji pracowników, łowieniem talentów oraz inwestowaniem w badania i rozwój wiedzy z dziedziny cyberbezpieczeństwa.
Zdolności operacyjne – zapobieganie, powstrzymywanie i reagowanie
Nowa strategia cyberbezpieczeństwa UE obejmuje zacieśnienie współpracy pomiędzy organami odpowiedzialnymi za tę dziedzinę w poszczególnych państwach członkowskich zarówno pomiędzy nimi, jak i z organami unijnymi. Wzmocnione mają zostać również narzędzia cyfrowej dyplomacji, rozwinięte kompetencje Europejskiej Agencji Obrony, a państwa członkowskie mają być przez UE zachęcane do pełnego wykorzystania współpracy strukturalnej i Europejskiego Funduszu Obronnego.
Współpraca międzynarodowa w zakresie cyberbezpieczeństwa na poziomie UE i jej partnerów ma przyczyniać się według nowego dokumentu do wzmocnienia międzynarodowego porządku opartego na zasadach, stabilności w cyberprzestrzeni oraz ochrony praw człowieka i podstawowych wolności w internecie. Ma ona przełożyć się również na sprawniejszą budowę międzynarodowych standardów i norm odzwierciedlających wartości UE.
Strategia obejmuje również wzmocnienie dialogu z państwami trzecimi przez opracowanie unijnego programu budowania zewnętrznych zdolności cyfrowych.
Wzmocnienie ochrony sieci łączności 5G i kolejnych generacji
Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) przy wsparciu KE w ramach nowej strategii zachęciła państwa członkowskie do ukończenia wdrażania zestawu narzędzi dla bezpieczeństwa sieci łączności nowej generacji 5G i kolejnych. Opiera się ono na kryteriach oceny ryzyka. Głównym celem zestawu narzędzi jest jego ograniczenie, również poprzez ograniczenie w łańcuchu dostaw roli firm mogących narażać bezpieczeństwo narodowe i łączności na wysokie ryzyko.
Według sprawozdania z postępów we wdrażaniu zestawu narzędzi dla bezpieczeństwa 5G z lipca tego roku, większość państw członkowskich UE jest na zaawansowanym etapie prac, które powinny się zakończyć do drugiego kwartału 2021 r.
Komisarz Margrethe Vestager powiedziała, że “Europa jest zdecydowana działać na rzecz transformacji cyfrowej naszego społeczeństwa i gospodarki. Musimy zatem wspierać ten proces za pomocą inwestycji na niespotykanym dotychczas poziomie”. Jej zdaniem “transformacja cyfrowa nabiera tempa, ale może zakończyć się sukcesem tylko wtedy, gdy obywatele i firmy będą mieli pewność, że skomunikowane produkty i usługi, z których korzystają, są bezpieczne”.
Obecnie przeanalizowaniem dyrektywy NIS 2 i dyrektywy ws. odporności podmiotów krytycznych muszą zająć się Parlament Europejski i Rada. Po uzgodnieniu ostatecznej treści nowych regulacji, państwa członkowskie będą musiały transponować je do swojego systemu prawnego w ciągu 18 miesięcy.
Cyberbezpieczeństwo jest długoterminowym priorytetem dla UE, gdyż zajmuje istotną rolę również w nowym unijnym budżecie.
Wspólne działania w tym obszarze to obecnie jedyna droga do stworzenia silnych mechanizmów cyberobronnych w ramach Unii Europejskiej ale i w państwach członkowskich, które – jak to miało miejsce np. w przypadku Polski – dopiero powstanie dyrektywy NIS (2016 r.) zmusiło do podjęcia kroków celem sformowania strategii cyberbezpieczeństwa na poziomie krajowym.
