W dniu 22 marca Komisja Europejska opublikowała propozycję nowych przepisów, mających na celu ustanowienie wspólnych środków na rzecz cyberbezpieczeństwa oraz bezpieczeństwa informacji we wszystkich instytucjach, organach, urzędach i agencjach UE w celu wzmocnienia ich odporności na incydenty i cyberzagrożenia oraz zdolności reagowania na nie.
Nowa propozycja przepisów dotyczących cyberbezpieczeństwa oraz bezpieczeństwa informacji
Występujące współcześnie współzależności między urządzeniami, sieciami i programami powodują, że pojedynczy incydent może stanowić zagrożenie dla całej organizacji lub struktury. W związku z tym wzrasta znaczenie wdrażania przepisów, procedur oraz rozwiązań technicznych wzmacniających zdolności w zakresie odporności, obrony przed i reagowania na incydenty oraz cyberzagrożenia, także na poziomie instytucji unijnych. Zmieniająca się sytuacja geopolityczna oraz pandemia COVID-19 uwidoczniła potrzebę wprowadzania wspólnego podejścia w zakresie cyberbezpieczeństwa, aby efektywnie odpowiadać na współczesne zagrożenia dla ekosystemu bezpieczeństwa UE.
Zakres przedmiotowy Rozporządzenia ws. Cyberbezpieczeństwa
Jednym z elementów realizujących ten postulat ma być propozycja Rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach, urzędach i agencjach Unii, określane także mianem Rozporządzeniem ws. Cyberbezpieczeństwa (Cybersecurity Regulation). Ma ono ustanawiać ramy zapewniające wspólne przepisy i środki w zakresie cyberbezpieczeństwa dla instytucji, organów i agencji Unii, określając ramy oraz środki nadzoru i kontroli oraz zarządzania ryzykiem. Ponadto na gruncie przepisów Rozporządzenia mają powstać zarówno nowe podmioty, a dotychczas istniejące zyskają nowe, rozszerzone zadania.
Do kluczowych elementów propozycji Rozporządzenia należą:
- uaktualnienie istniejących regulacji prawnych dotyczących CERT-EU, w tym wzmocnienia jego mandatu oraz zapewnienie odpowiednich środków na jego realizację, a także zmiana pełnej nazwy (z zachowaniem dotychczasowego skrótu) na Centrum Cyberbezpieczeństwa,
- utworzenie Międzyinstytucjonalnej Rady ds. Cyberbezpieczeństwa, odpowiedzialna za monitorowanie wdrażania przepisów Rozporządzenia przez instytucje i podmioty UE oraz nadzór na realizacją priorytetów i celów przez CERT-EU oraz zapewnienie mu strategicznego kierunku działania,
- nałożenie na wszystkie unijne instytucje, organy i agencje nowych obowiązków w zakresie cyberbezpieczeństwa:
- wdrożenie ram oraz środków nadzoru i kontroli oraz zarządzania ryzykiem
- wprowadzenie podstawowych środków bezpieczeństwa wobec zidentyfikowanych cyberzagrożeń,
- przeprowadzanie regularnych ocen dojrzałości,
- opracowanie planu poprawy cyberbezpieczeństwa,
- Bieżąca wymiana informacji o incydentach z CERT-EU
Na gruncie propozycji Rozporządzenia ws. Cyberbezpieczeństwa rozszerzeniu uległ mandat CERT-UE o zadania z obszaru threat intelligence, wymiany informacji oraz działań koordynujących w zakresie reagowania na incydenty, a także doradztwo oraz świadczenie usług w zakresie kompetencji i zadań.
Zakres przedmiotowy Rozporządzenia ws. Bezpieczeństwa Informacji
Drugą z regulacji, mającą stworzyć zasady w obszarze bezpieczeństwa informacji, ma być propozycja Rozporządzenia Parlamentu Europejskiego i Rady w sprawie bezpieczeństwa informacji w instytucjach, organach, urzędach i agencjach Unii, nazywanego również Rozporządzeniem ws. Bezpieczeństwa Informacji (Information Security Regulation). Biorąc pod uwagę stale rosnącą ilość wrażliwych informacji jawnych i niejawnych w UE, z którymi mają do czynienia instytucje, i podmioty unijne, proponowane Rozporządzenie ma na celu zwiększenie ochrony informacji poprzez uproszczenie zróżnicowanych ram prawnych.
Celem przyjęcia przepisów jest dążenie do wskazania reguł i standardów minimalnych w zakresie bezpieczeństwa informacji na poziomie instytucji i podmiotów unijnych, aby zapewnić jednolitą i zwiększoną niż do tej pory ochronę przed zagrożeniami w tej sferze. Zasady przyjęte na gruncie przepisów nowego Rozporządzenia mają opierać się o ustandaryzowane praktyki i środki w zakresie bezpieczeństwa przepływu informacji i w konsekwencji stanowić podstawę dla bezpiecznej wymiany danych pomiędzy instytucjami i podmiotami UE, a także Państwami Członkowskimi.
Kluczowymi regulacjami, zawartymi w rozporządzeniu mają być:
- Ustanowienie skutecznego systemu zarządzania w celu wspierania współpracy między wszystkimi instytucjami i organami UE, w tym w szczególności międzyinstytucjonalną grupą koordynacyjną ds. bezpieczeństwa informacji;
- Wprowadzenie wspólnego modelu postępowania w zakresie klasyfikacji informacji, w zależności od ich poufności;
- Zaktualizowanie polityki bezpieczeństwa informacji, w szczególności wobec rozwoju pracy zdalnej oraz postępującej transformacji cyfrowej;
- Usprawnienie aktualnych praktyk oraz większa harmonizacja pomiędzy systemami i urządzeniami.