W wydanym 13 września 2017 r. tzw. „pakiecie cybernetycznym” Komisja Europejska przedstawiła zalecenia w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę. Dokument dotyczy incydentów w cyberprzestrzeni, które wywołują na tyle poważne zakłócenia, że pojedyncze państwo członkowskie nie jest w stanie na nie odpowiedzieć, oraz incydentów o szerokich skutkach technologicznych lub politycznych dla dwóch lub więcej krajów.
Komisja Europejska wskazała, że incydenty w cyberprzestrzeni mogą być źródłem lub częścią większych kryzysów, uderzających w inne sektory. Można się spodziewać, że skutki większości takich kryzysów będą odczuwalne również w świecie fizycznym. Dlatego właściwa reakcja musi zawierać działania ograniczające skutki zarówno w cyberprzestrzeni, jak i w świecie fizycznym.
W związku z tym KE opracowała dokumentu, który porządkuje kwestie związane ze skoordynowaną odpowiedzią na cyberataki i tradycyjnym zarządzaniem kryzysowym. Podczas przygotowywania dokumentu korzystano m.in. ze Standardowych Procedur Operacyjnych (SOP), wypracowanych w czasie ćwiczeń Cyber Europe.
Cztery zasady blueprint
Blueprint powstał w oparciu o cztery zasady przewodnie:
- Proporcjonalność – większość ataków nie spełnia kryteriów ani kryzysu na szczeblu krajowym, ani międzynarodowym, a co za tym idzie: podstawę współpracy państw członkowskich stanowić będzie sieć CSIRT;
- Pomocniczość – główna odpowiedzialność za reagowanie na kryzysy w cyberprzestrzeni leży po stronie państw członkowskich, a organy UE (m.in. Komisja, Europejska Służba Działań Zewnętrznych) tylko je wspierają, w myśl uzgodnionych wcześniej procedur i obowiązujących przepisów prawa;
- Komplementarność – blueprint ma charakter uzupełniający w stosunku do funkcjonujących już procedur UE (m.in. uzgodnienia UE dotyczące reagowania na szczeblu politycznym w sytuacjach kryzysowych – IPCR, mechanizm reagowania kryzysowego ESDZ);
- Poufność informacji – wszelka wymiana informacji, w ramach opisanych w dokumencie procedur, musi być zgodna z obowiązującymi zasadami bezpieczeństwa.
Trzy poziomy współpracy
Blueprint ma umożliwić skuteczne reagowanie, zbudowanie wspólnej orientacji sytuacyjnej oraz uzyskanie zgody w kwestii kluczowych działań komunikacyjnych na wypadek kryzysu. Wszystkie te elementy muszą być zapewnione na trzech poziomach współpracy: technicznym, operacyjnym oraz polityczno-strategicznym.
- Poziom techniczny
Dotyczy postępowania w odniesieniu do incydentu (procedury umożliwiające wykrywanie i analizowanie incydentu, ograniczenie jego skutków oraz reakcję), a także monitorowania incydentu i nadzoru (łącznie z analizą zagrożeń i ryzyka). Centralnym mechanizmem współpracy jest sieć CSIRT.
- Poziom operacyjny
Dotyczy przygotowania procesu decyzyjnego na poziomie politycznym, koordynacji zarządzania kryzysem cybernetycznym oraz oceny skutków i wpływu na szczeblu unijnym (w tym zaproponowanie możliwych środków zaradczych).
- Poziom strategiczno-polityczny
Dotyczy strategicznego i politycznego zarządzania cybernetycznymi i pozacybernetycznymi aspektami kryzysu (z uwzględnieniem środków unijnej reakcji dyplomatycznej).