12 września 2018 roku Komisja Europejska przedstawiła propozycję rozporządzenia ustanawiającego Europejskie Centrum Kompetencji w dziedzinie Cyberbezpieczeństwa w kwestiach Przemysłu, Technologii i Badań Naukowych wraz z siecią krajowych ośrodków koordynacji. Celem propozycji jest stymulowanie europejskiego ekosystemu technologicznego i przemysłowego oraz wzmacnianie współpracy w dziedzinie cyberbezpieczeństwa między różnymi branżami i środowiskami naukowymi.
Zgodnie z propozycją KE częścią nowego ekosystemu ma być Europejskie Centrum Cyberbezpieczeństwa, sieć krajowych ośrodków koordynacji oraz środowiska posiadające kompetencje w dziedzinie cyberbezpieczeństwa.
Europejskie Centrum Cyberbezpieczeństwa to nowa instytucja, której zadaniem będzie:
- ułatwianie i pomoc w koordynacji pracy sieci krajowych ośrodków koordynacji;
- zwiększanie możliwości i wiedzy oraz ulepszanie infrastruktury cyberbezpieczeństwa, z korzyścią dla przemysłu, sektora publicznego i środowisk naukowych;
- wnoszenie wkładu w powszechne wdrażanie w całej gospodarce nowoczesnych produktów i rozwiązań w dziedzinie cyberbezpieczeństwa;
- poprawa zrozumienia kwestii cyberbezpieczeństwa i ograniczanie niedoborów kwalifikacji w zakresie cyberbezpieczeństwa w UE;
- wzmacnianie badań naukowych i rozwoju w dziedzinie cyberbezpieczeństwa w UE;
- zacieśnienie współpracy między kręgami cywilnymi i obronnymi w odniesieniu do technologii i aplikacji podwójnego zastosowania w dziedzinie cyberbezpieczeństwa;
- zwiększanie synergii między wymiarem cywilnym i wymiarem obronnym cyberbezpieczeństwa w odniesieniu do Europejskiego Funduszu Obronnego.
Zasadniczą rolą centrum ma być dystrybuowanie funduszy europejskich w dziedzinie cyberbezpieczeństwa z poziomu europejskiego na poziom państw członkowskich. Dodatkowo centrum ma gromadzić wiedzę i kompetencje.
Zgodnie z propozycją KE, centrum składa się z:
- Rady zarządzającej, w której skład wchodzi po jednym przedstawicielu każdego państwa członkowskiego oraz pięciu przedstawicieli Komisji Europejskiej;
- Dyrektora wykonawczego, zatrudnianego przez centrum, a wybieranego i mianowanego przez radę zarządzającą z listy wskazanej przez Komisję Europejską;
- Rady konsultacyjnej ds. przemysłowych i naukowych, która liczy maksymalnie 16 członków. Jest mianowana przez radę zarządzającą spośród przedstawicieli podmiotów, będących częścią środowiska, posiadającego kompetencje w dziedzinie cyberbezpieczeństwa.
Sieć krajowych ośrodków koordynacji – ośrodki nominowane będą przez kraje członkowskie, a następnie akredytowane przez Komisję Europejską. Instytucje mają wspierać działania centrum. Poza tym zadania ośrodków są następujące:
- ułatwianie przemysłowi i innym podmiotom na szczeblu państwa członkowskiego udziału w projektach transgranicznych;
- określanie i eliminowanie, wspólnie z Centrum Kompetencji, stojących przed przemysłem wyzwań z zakresu cyberbezpieczeństwa w konkretnych sektorach;
- pełnienie roli krajowego punktu kontaktowego na potrzeby środowiska posiadającego kompetencje w dziedzinie cyberbezpieczeństwa i Centrum Kompetencji;
- tworzenie synergii z odpowiednimi działaniami na szczeblu krajowym i regionalnym;
- wdrażanie działań, na które Centrum Kompetencji przyznało dotacje;
- promowanie i rozpowszechnianie przez sieć, środowisko posiadające kompetencje w dziedzinie cyberbezpieczeństwa i Centrum Kompetencji odpowiednich wyników prac na szczeblu krajowym i regionalnym;
- ocena wniosków o włączenie do środowiska posiadającego kompetencje w dziedzinie cyberbezpieczeństwa, składanych przez podmioty, które mają siedzibę w tym samym państwie członkowskim co ośrodek koordynacji.
Środowiska posiadające kompetencje w dziedzinie cyberbezpieczeństwa będą współpracować z Europejskim Centrum i ropowszechniać fachową wiedzę. Jego członkowie mają pochodzić z różnych środowisk, tak aby reprezentować różne punkty widzenia. Będą to np. organizacje przemysłowe, akademickie, naukowe non-profit oraz stowarzyszenia i podmioty publiczne. Warunkiem akredytacji na członka środowiska jest wykazanie się fachową wiedzą z zakresu cyberbezpieczeństwa w co najmniej jednej z dziedzin:
- badania naukowe;
- rozwój przemysłu;
- szkolenie i kształcenie.
Akredytacji dokonuje Europejskie Centrum Komptencji. Jest ona poprzedzona wyznaczeniem danych organizacji na członków środowiska na mocy prawa krajowego, po tym jak krajowy ośrodek zweryfikuje kandydujące podmioty. Poza tym na członków środowiska mogą zostać powołane także organy, agencje i urzędy Unii Europejskiej.
Zadania członków środowiska posiadającego kompetencje w dziedzinie cyberbezpieczeństwa obejmują:
- wsparcie Centrum Kompetencji w wypełnianiu jego misji i osiąganiu celów oraz współpracę z właściwymi krajowymi ośrodkami koordynacji;
- udział w działaniach promowanych przez Centrum Kompetencji i krajowe ośrodki koordynacji;
- uczestniczenie w grupach roboczych ustanowionych przez radę zarządzającą Centrum Kompetencji w celu realizacji działań określonych w planie prac Centrum Kompetencji;
- wspieranie Centrum Kompetencji i krajowych ośrodków koordynacji w promocji projektów;
- rozpowszechnianie wyników działań i projektów prowadzonych przez społeczność.
Propozycja rozporządzenia w sprawie Europejskiego Centrum Kompetencji w dziedzinie Cyberbezpieczeństwa w kwestiach Przemysłu, Technologii i Badań Naukowych budzi wiele kontrowersji. Przede wszystkim nie do końca uzasadniona wydaje się dominująca rola Komisji Europejskiej w radzie zarządzającej, a także uzależnienie prawa głosu w radzie dla państw członkowskich od funduszy wpłacanych na centrum. Dodatkowo część zadań Centrum wyraźnie pokrywa się z nowym mandatem Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA).