17 lipca 2020 roku Agencja UE ds. Cyberbezpieczeństwa (ENISA) opublikowała nową strategię A Trusted and Cyber Secure Europe. Jest to pierwszy tego typu dokument przygotowany przez Agencję, po przyjęciu przez nią nowego mandatu w Akcie Cyberbezpieczeństwa. Strategia zawiera 7 celów, których realizacja będzie wyznaczała kierunek przyszłych prac Agencji. Dokument został przyjęty bez podania okresu jego obowiązywania. Największy nacisk ENISA kładzie na zwiększenie cyberbezpieczeństwa w całej Europie, budowanie zaufania oraz zaangażowanie społeczności, wzmocnienie współpracy operacyjnej na różnych szczeblach UE, włączenie cyberbezpieczeństwa do polityk sektorowych, skuteczne zarządzanie wiedzą oraz wzmacnianie kompetencji w zakresie cyberbezpieczeństwa.
Przepisy, które wprowadził Cybersecurity Act zapewniły Agencji UE ds. Cyberbezpieczeństwa (ENISA) stały i jasno sprecyzowany mandat, a przy tym zwiększyły wpływ na ekosystem cyberbezpieczeństwa UE. Wcześniej agencja pełniła rolę doradczą, obecnie jej głównym celem jest zapewnienie wysokiego poziomu cyberbezpieczeństwa w UE. Agencja wykonuje zadania powierzone jej na mocy przepisów unijnych, działa niezależnie i w taki sposób, aby nie powielać zadań realizowanych przez państwa członkowskie. ENISA utrzymuje własne zasoby, w tym kompetencje techniczne i kapitał ludzki, niezbędne do wywiązania się z nałożonych na nią obowiązków. Jest organem UE, ma osobowość prawną i w każdym kraju posiada zdolność do czynności prawnych, przyznaną na mocy prawa krajowego, co oznacza, że może nabywać i zbywać mienie ruchome i nieruchome.
Obecna strategia została opracowana w celu wypełnienia stałego mandatu Agencji. W dokumencie znalazło się 7 głównych celów strategicznych, które są dla ENISA priorytetowe w nadchodzących latach:
- Wzmocnienie i zaangażowanie społeczności w całym ekosystemie cyberbezpieczeństwa
- Cyberbezpieczeństwo jako integralna część polityki UE
- Skuteczna współpraca w przypadku zaistnienia masowych incydentów cyberbezpieczeństwa pomiędzy podmiotami operacyjnymi działającymi na obszarze UE
- Wzmacnianie kompetencji i umiejętności w zakresie cyberbezpieczeństwa w całej UE
- Wysoki poziom zaufania do bezpiecznych rozwiązań cyfrowych
- Prognozowanie pojawiających się zagrożeń oraz wyzwań w zakresie cyberbezpieczeństwa
- Skuteczne i efektywne zarządzanie informacjami i wiedzą w zakresie cyberbezpieczeństwa w Europie
Na początku dokumentu Agencji UE ds. Cyberbezpieczeństwa (ENISA) przywołała swoją misję, która odgrywa istotną rolę w kształtowaniu kierunku wyznaczonej przez nią strategii. Agencja, wspólnie z innymi podmiotami, dąży do osiągnięcia wysokiego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Agencja działa w charakterze ośrodka wiedzy specjalistycznej w zakresie cyberbezpieczeństwa, gromadząc i dostarczając niezależną wiedzę z obszaru pomocy technicznej państwo członkowskim oraz organom UE. ENISA przyczynia się także do opracowywania i implementacji polityki z zakresu cyberbezpieczeństwa wewnątrz Unii. Celem agencji jest również wzmocnienie zaufania do połączonej gospodarki, infrastruktury i usług stosowanych wewnątrz Unii, a także zapewnienia ogólnego bezpieczeństwa cyfrowego wśród społeczeństwa i obywateli. ENISA dąży do tego, aby być skuteczną organizacją, odpowiedzialną pod względem ekologicznym i społecznym, skoncentrowaną na ludziach. Wartościami, którymi kieruje się agencja to: nastawienie na społeczność, dążenie do perfekcjonizmu, uczciwość, etyka, poszanowanie, odpowiedzialność, przejrzystość.
Dokument opisuje każdy z celów Agencji.
1. Wzmocnienie i zaangażowanie społeczności w całym ekosystemie cyberbezpieczeństwa
Cyberbezpieczeństwo to dla ENISY wspólna odpowiedzialność. Europa dąży do stworzenia międzysektorowych, całościowych ram współpracy w tym obszarze. ENISA chce odgrywać kluczową rolę w stymulowaniu aktywnej współpracy między zainteresowanymi stronami w tym procesie. Agencja dąży do zapewnienia komplementarności wspólnych wysiłków poprzez nieustanne kreowanie wartości dodanej dla interesariuszy, badanie synergii oraz skuteczne wykorzystywanie wiedzy specjalistycznej i dostępnych zasobów w obszarze cyberbezpieczeństwa.
Cele szczegółowe:
- Osiągnięcie ogólnoeuropejskiego, najwyższego stanu wiedzy na temat koncepcji i praktyk w zakresie cyberbezpieczeństwa, który przyczyni się do zacieśnienia współpracy pomiędzy kluczowymi podmiotami w dziedzinie cyberbezpieczeństwa. Agencja propaguje zdobyte doświadczenia, wyciągnięte wnioski oraz wiedzę specjalistyczną UE, dzięki czemu stara się tworzyć nowe synergie.
- Stworzenie silnego ekosystemu cyberbezpieczeństwa, obejmującego organy państw członkowskich, instytucje, agencje i organy UE, stowarzyszenia, ośrodki badawcze, uniwersytety, przemysł, podmioty prywatne i obywateli, którzy odgrywają rolę w zapewnianiu bezpieczeństwa teleinformatycznego w Europie.
2. Cyberbezpieczeństwo jako integralna część polityki UE
Cyberbezpieczeństwo jest wg. ENISA kamieniem węgielnym transformacji cyfrowej, a przy tym dotyczy wszystkich sektorów. Dlatego należy je rozpatrywać w szerokim zakresie – zarówno od strony polityki, jak i innych inicjatyw. ENISA zaznacza przy tym, że cyberbezpieczeństwo nie może być ograniczone do wąskiej, wyspecjalizowanej społeczności ekspertów technicznych. W związku z tym powinno zostać uwzględnione we wszystkich obszarach polityki UE. Bardzo ważne jest unikanie fragmentacji oraz potrzeba spójnego podejścia do ww. kwestii, przy jednoczesnym uwzględnieniu specyfiki każdego sektora.
Cele szczegółowe:
- Proaktywne doradztwo i wsparcie dla wszystkich właściwych podmiotów w UE, które będzie uwzględniało wymiar cyberbezpieczeństwa w rozwoju różnych polityk, poprzez realne i ukierunkowane wytyczne techniczne.
- Stworzenie ram zarządzania ryzykiem w obszarze cyberbezpieczeństwa, które będą obowiązywały we wszystkich sektorach i są stosowane w całym cyklu życia polityki cyberbezpieczeństwa.
3. Skuteczna współpraca w przypadku zaistnienia masowych incydentów cyberbezpieczeństwa pomiędzy podmiotami operacyjnymi działającymi na obszarze unii
Zdaniem Agencji korzyści płynące z europejskiej gospodarki cyfrowej i społeczeństwa cyfrowego można w pełni osiągnąć jedynie pod warunkiem zapewnienia bezpieczeństwa cyfrowego. Ponieważ tzw. cyberzagrożenia nie ograniczają się do jurysdykcji jednego państwa członkowskiego, mogą wpływać na wszystkie warstwy życia społecznego. Dlatego ENISA podkreśla, że UE musi być gotowa do reagowania na masowe (zakrojone na szeroką skalę oraz transgraniczne) ataki teleinformatyczne oraz związane z tym potencjalne kryzysy.
Według ENISA współzależności transgraniczne uwydatniły potrzebę skutecznej współpracy między państwami członkowskimi i instytucjami UE, dlatego istnieje potrzeba szybkiego reagowania oraz sprawnej koordynacji działań na wszystkich szczeblach (strategicznym, operacyjnym, technicznym i komunikacyjnym).
Cele szczegółowe:
- Zapewnienie stałego transgranicznego i wielopoziomowego wsparcia dla współpracy między państwami członkowskimi oraz instytucjami UE. W obliczu zaistnienia potencjalnych incydentów i sytuacji kryzysowych na dużą skalę – wsparcie w obszarze zacieśnianie współpracy na szczeblu operacyjnym, politycznym i strategicznym – między kluczowymi interesariuszami jest niezbędne. Umożliwi ono szybkie reagowanie, wymianę informacji, szerszy ogląd danej sytuacji oraz komunikację w sytuacjach kryzysowych w całej Unii.
- Stworzenie kompleksowej i szybkiej obsługi technicznej, która ułatwi wymianę informacji oraz wiedzy operacyjnej w zakresie zarządzania incydentami i sytuacjami kryzysowymi.
4. Wzmacnianie kompetencji i umiejętności w zakresie cyberbezpieczeństwa w całej UE
Wzrasta częstotliwość i stopień wyrafinowania cyberataków. Coraz bardziej powszechnie wykorzystywana jest także wykorzystanie infrastruktura i technologia ITC – korzystają z niej zarówno osoby prywatne, jak i organizacje oraz przemysł. W związku z tym ENISA uważa, że UE musi inwestować w budowanie i wzmacnianie kompetencji w obszarze cyberbezpieczeństwa na wszystkich poziomach, poczynając od zwykłych użytkowników Internetu, a kończąc na wysoko wykwalifikowanych specjalistach. Inwestycje powinny koncentrować się nie tylko na zwiększaniu umiejętności w państwach członkowskich, ale również na zagwarantowaniu, że poszczególne społeczności operacyjne będą posiadały odpowiednią zdolność do radzenia sobie z cyberzagrożeniami.
Cele szczegółowe:
- Wyrównywanie kompetencji, doświadczenia zawodowego i poziomu edukacyjnego w zakresie cyberbezpieczeństwa w UE, w celu wyjścia naprzeciw stale rosnącym potrzebom.
- Sukcesywne podnoszenie poziomu świadomości w zakresie cyberbezpieczeństwa i rozwój związanych z tym kompetencji w całej UE, obejmując coraz to nowe dyscypliny.
- Dobrze przygotowane i sprawdzone umiejętności, potrafiące sprostać nieustannie ewoluującemu środowisku zagrożeń.
5. Wysoki poziom zaufania do bezpiecznych rozwiązań cyfrowych
Produkty i usługi cyfrowe niosą ze sobą zarówno korzyści, jak i zagrożenia, które zdaniem ENISA należy identyfikować i ograniczać. W procesie oceny bezpieczeństwa rozwiązań cyfrowych i zapewniania ich wiarygodności niezbędne jest przyjęcie wspólnego podejścia, którego celem będzie osiągnięcie równowagi między potrzebami społecznymi, rynkowymi i gospodarczymi w zakresie cyberbezpieczeństwa. Agencja uważa, że neutralny podmiot działający w jasny, przejrzysty sposób zwiększy zaufanie klientów do rozwiązań cyfrowych i szerszego środowiska cyfrowego.
Cel szczegółowy:
- Zapewnienie bezpiecznego środowiska w całej UE poprzez wdrażanie systemów certyfikacji w kluczowych obszarach technologicznych. Dzięki temu obywatele będą mieli zaufanie do produktów, usług i procesów ICT.
6. Prognozowanie pojawiających się zagrożeń oraz wyzwań w zakresie cyberbezpieczeństwa
Zdaniem Agencji wiele nowych technologii, tych będących jeszcze w stadium początkowym oraz tych bliskich wdrożeniu na rynek, zdecydowanie skorzystałoby na wykorzystaniu metod prognozowania. Dzięki ustrukturyzowanemu procesowi umożliwiającemu dialog między zainteresowanymi przedstawicielami rynku i decydentami politycznymi będzie możliwe określenie strategii wczesnego łagodzenia skutków.
Cele szczegółowe:
- Zrozumienie pojawiających się trendów i wzorców za pomocą prognozowania i opracowania możliwych scenariuszy, które przyczynią się do łagodzenia wyzwań stojących przed interesariuszami Agencji.
- Wczesna ocena wyzwań i zagrożeń wynikających z przyjęcia i dostosowania się do pojawiających się opcji, przy jednoczesnej współpracy z zainteresowanymi stronami w zakresie wdrażania odpowiednich strategii łagodzenia skutków.
7. Skuteczne i efektywne zarządzanie informacjami i wiedzą w zakresie cyberbezpieczeństwa w Europie
Według ENISA siłami, które napędzają cyberbezpieczeństwo są informacja oraz wiedza. Specjaliści w dziedzinie cyberbezpieczeństwa, pracujący w nieustannie zmieniającym się środowisku. Dlatego, aby móc skutecznie realizować postawione przed nimi cele, potrzebują dostępu do najnowszych informacji i wiedzy z zakresu cyberbezpieczeństwa. ENISA będzie więc prowadzić działania związane z gromadzeniem, organizowaniem, podsumowywaniem, analizowaniem, komunikowaniem i utrzymywaniem tej wiedzy. Każdy z tych etapów jest niezbędny w procesie prawidłowego przepływu informacji i wykorzystania tych zasobów.
Cele szczegółowe:
- Wspólne zarządzanie informacjami i wiedzą na temat ekosystemu cyberbezpieczeństwa w UE. (Uwzględniając, że powinno ono być w dostępnej, dostosowanej do potrzeb, aktualnej i stosownej formie, z odpowiednią metodologią, infrastrukturą i narzędziami oraz zapewniać wysoką jakości).
Podsumowanie:
- Przepisy, które wprowadził Cybersecurity Act zapewniły Agencji UE ds. Cyberbezpieczeństwa (ENISA) stały i jasno sprecyzowany mandat, a przy tym zwiększyły jej wpływ na ekosystem cyberbezpieczeństwa UE.
- Obecna strategia została opracowana w celu wypełnienia stałego mandatu Agencji.
- Wśród strategicznych celów ENISY znalazły się:
- Wzmocnienie i zaangażowanie społeczności w całym ekosystemie cyberbezpieczeństwa
- Cyberbezpieczeństwo jako integralna część polityki UE
- Skuteczna współpraca w przypadku zaistnienia masowych incydentów cyberbezpieczeństwa pomiędzy podmiotami operacyjnymi działającymi na obszarze UE
- Wzmacnianie kompetencji i umiejętności w zakresie cyberbezpieczeństwa w całej UE
- Wysoki poziom zaufania do bezpiecznych rozwiązań cyfrowych
- Prognozowanie pojawiających się zagrożeń oraz wyzwań w zakresie cyberbezpieczeństwa
- Skuteczne i efektywne zarządzanie informacjami i wiedzą w zakresie cyberbezpieczeństwa w Europie
- Dokument został przyjęty bez podania okresu jego obowiązywania.