Nowa Europejska Strategia Cyberbezpieczeństwa

16 grudnia 2020 Komisja Europejska przedstawiła nowy pakiet cyberbezpieczeństwa. W skład pakietu weszła  m.in. nowa strategia cyberbezpieczeństwa Wspólny komunikat Parlamentu Europejskiego i Rady Europy. Strategia cyberbezpieczeństwa UE. Zaufanie i bezpieczeństwo w centrum cyfrowej dekady. (Joint communication to The European Parliament and The Council. The EU’s Cybersecurity Strategy for the Digital Decade). Głównym celem strategii jest wzmocnienie odporności Europy na cyberprzestępstwa oraz pomoc w zapewnieniu dostępu do niezawodnych i wiarygodnych narzędzi cyfrowych wszystkim obywatelom i przedsiębiorstwom. Przyjęcie nowej Strategii ma przyczynić się do wzmocnienia roli Europy jako lidera w zakresie tworzenia międzynarodowych standardów oraz prawa w obszarze cyberbezpieczeństwa. Ważnym aspektem podkreślonym przez Komisję Europejską w dokumencie jest budowanie globalnego partnerstwa opartego na europejskich wartościach. Strategia składa się z konkretnego zestawu inicjatyw regulacyjnych, inwestycyjnych i politycznych w następujących obszarach: (1) Odporność, technologiczna suwerenność i przywództwo, (2) Budowanie zdolności operacyjnych do zapobiegania, odstraszania i reagowania na incydenty w cyberprzestrzeni (3) Rozwój globalnej i otwartej cyberprzestrzeni poprzez zacieśnienie współpracy międzynarodowej.

Ostatnia strategia została przedstawiona w 2013 roku, razem z projektem Dyrektywy NIS. Od tego czasu była dwukrotnie aktualizowana (w 2016 i 2017 roku). Nowe zagrożenia i wyzwania sprawiają, że konieczne było przyjęcie nowej strategii, której częściową realizacją jest Dyrektywa NIS2 . Komisja zauważa, że obecnie coraz więcej krajowych politykach państw członkowskich, podejmuje próbę wyznaczania cyfrowych granic. KE podkreśla, że ograniczenia w Internecie mogą zagrażać praworządności, a także naruszać podstawowe wartości UE. Ponadto cyberprzestrzeń jest coraz częściej wykorzystywana do celów politycznych i ideologicznych. Obrazu dopełniają cyberataki na infrastrukturę, kradzieże danych osobowych, przemysłowych czy państwowych. Działania te zagrażają bezpieczeństwu oraz stabilności międzynarodowej. W związku z tym Komisja Europejska w swojej strategii cyberbezpieczeństwa proponuje konkretny zestaw rozwiązań regulacyjnych, inwestycyjnych i politycznych w trzech następujących obszarach:

  1. Odporność, technologiczna suwerenność i przywództwo.
  2. Budowanie zdolności operacyjnych do zapobiegania, odstraszania i reagowania na incydenty w cyberprzestrzeni.
  3. Rozwój globalnej i otwartej cyberprzestrzeni poprzez zacieśnienie współpracy międzynarodowej.

Nowa Strategia cyberbezpieczeństwa, skupia się przede wszystkim na ochronie dostępu do otwartego Internetu, przy czym, oferuje konkretne rozwiązania w celu wzmocnienia bezpieczeństwa, a także ochrony wartości europejskich i podstawowych praw wszystkich osób. Główne motto strategii brzmi „Zaufanie i bezpieczeństwo w centrum cyfrowej dekady UE”.

1. Odporność, technologiczna suwerenność i przywództwo

W ramach tego aspektu działań Komisja Europejska proponuje reformę przepisów dotyczących cyberbezpieczeństwa. Przede wszystkim zmianie ulegnie Dyrektywa NIS. Propozycja NIS 2 rozszerza zakres podmiotowy dotychczasowej dyrektywy, a także nakłada na podmioty większe obowiązki wynikające z raportowania incydentów.

Oprócz zmian regulacyjnych, Komisja proponuje również uruchomienie Sieci Centrów Operacyjnych ds. Bezpieczeństwa w całej UE.  Zadaniem takich centrów będzie wykrywanie na wczesnym etapie cyberataków, w miarę możliwości ich niwelowanie bądź ewentualnie łagodzenie ich skutków.  Dodatkowo takie ośrodki, w ramach Digital Innovation Hubs[1], będą wspierały małe i średnie przedsiębiorstwa, czy też wyszukiwały najlepsze talenty z branży oraz pomagały podnosić kwalifikacje w obszarze cyberbezpieczeństwa pracownikom niższego szczebla. Ważnym zadaniem centrów będzie również prowadzenie działalności naukowej, poprzez inwestowanie w badania i innowacje. KE zakłada, że ośrodki będą nieodzownie związane z rozwojem Sztucznej Inteligencji (AI).

Inicjatywy strategiczne w tym obszarze to:

  • przyjęcie zmienionej Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (Dyrektywa NIS 2),
  • standardy regulujące bezpieczeństwo Internetu Rzeczy (IoT),
  • wzrost inwestycji w obszarze cyberbezpieczeństwa w latach 2021-2027 do wysokości 4,5 mld EUR w sektorze publicznym oraz prywatnych,
  • uruchomienie Sieci Centrów Operacyjnych ds. Bezpieczeństwa z wykorzystaniem technologii informacyjno-komunikacyjnych, ultra-zabezpieczonej oraz wykorzystującej technologie kwantowe,
  • wsparcie małych i średnich przedsiębiorców w ramach Digital Innovation Hubs,
  • opracowanie unijnej usługi bezpiecznego i otwartego serwera DNS dla obywateli, przedsiębiorstw i administracji publicznej,
  • sfinalizowanie wdrażania Toolbox 5G do drugiego kwartału 2021 r.

2.Budowanie zdolności operacyjnych do zapobiegania, odstraszania i reagowania na incydenty w cyberprzestrzeni

Jedynym z priorytetów Komisji Europejskiej jest powołanie Wspólnej Jednostki Cyberbezpieczeństwa (Joint Cyber Unit), której zadaniem będzie zacieśnianie współpracy między jednostkami organizacyjnymi Unii Europejskiej, a organami państw członkowskich odpowiedzialnymi za cyberbezpieczeństwo.  Dodatkowo, KE planuje wzmocnienie unijnego zestawu w zakresie cyberdyplomacji (EU Cyber Diplomacy Toolbox).  

Komisja Europejska będzie również dążyć do dalszego zacieśniania współpracy w zakresie obrony przed cyberatakami i rozwijania najnowocześniejszych zdolności ich odpierania i niwelowania w ramach prac w Europejskiej Agencji Obrony, a także zachęcając państwa członkowskie do współpracy w ramach Europejskiego Funduszu Obrony.  Zdaniem KE przeciwdziałanie cyberzagrożeniom będzie trudne do zrealizowania bez ścisłej międzynarodowej współpracy w tym zakresie. 

Inicjatywy strategiczne w tym obszarze:

  • uzupełnienie europejskich ram zarządzania kryzysowego w dziedzinie cyberbezpieczeństwa oraz określić główne procesy, etapy i harmonogram utworzenia wspólnej jednostki cyberbezpieczeństwa,
  • realizowanie programu walki z cyberprzestępczością w ramach unijnej strategii bezpieczeństwa,
  • zachęcanie państw członkowskich do wymiany informacji dotyczących cyberzagrożeń w ramach Centrum Analiz Wywiadowczych UE,
  • wzmocnienie pozycji UE w zakresie cyberbezpieczeństwa w celu zapobiegania, zniechęcania, odstraszania i reagowania na zagrożenia w cyberprzestrzeni,
  • dokonanie przeglądu ram polityki cyberbezpieczeństwa,
  • opracowanie całościowej unijnej wizji i strategii wojskowej w zakresie cyberbezpieczeństwa,
  • budowanie synergii pomiędzy przemysłem cywilnym, obronnym oraz kosmicznym,
  • wzmocnienie poziomu bezpieczeństwa infrastruktury krytycznej w przestrzeni kosmicznej.

3. Rozwój globalnej i otwartej cyberprzestrzeni poprzez zacieśnienie współpracy międzynarodowej

Najważniejszym celem współpracy międzynarodowej realizowanej przez Komisję Europejską jest promowanie wartości europejskich – wzmacnianie obowiązującego ładu społecznego, obronę praw człowieka, czy też podstawowych wolności obywatelskich w Internecie. Komisja Europejska realizuje ten cel poprzez współpracę z partnerami, w tym z Organizacją Narodów Zjednoczonych, oraz aktywność na licznych forach, zarówno na szczeblu międzynarodowym, jak i regionalnym.

Celem UE nadal pozostanie wzmacnianie unijnego zestawu narzędzi w zakresie cyberdyplomacji oraz opracowanie programu budowania potencjału cyberbezpieczeństwa, którego zadaniem jest także wspieranie państw trzecich w tym obszarze. Zamiarem Komisji Europejskiej jest stworzenie unijnej sieci cyberbezpieczeństwa oraz przyjęcie wiodącej roli w cyfrowym łańcuchu dostaw. W ciągu najbliższych 7 lat, w ramach budżetu UE, a także planu naprawczego gospodarczo Europy, Komisja Europejska zobowiązuje się do wspierania licznych inwestycji w obszarze cyberbezpieczeństwa, a także zapewnienia odpowiednich funduszy na ten cel.

Inicjatywy strategiczne w tym obszarze:

  • zdefiniowanie zestawu celów w procesach normalizacji i promowanie ich na arenie międzynarodowej,
  • zwiększenie bezpieczeństwa i stabilności w cyberprzestrzeni państw członkowskich,
  • przedstawienie zestawu praktycznych wskazówek dotyczących stosowania podstawowych wolności i praw człowieka w cyberprzestrzeni,
  • skuteczna ochrona dzieci przed seksualnym wykorzystywaniem i ich niegodziwym traktowaniem w Internecie, a także opracowanie strategii na rzecz praw dziecka,
  • wzmocnienie i promowanie konwencji budapeszteńskiej o cyberprzestępczości, w tym poprzez prace nad drugim protokołem dodatkowym do konwencji budapeszteńskiej,
  • promowanie i wspieranie dialogu internetowego UE z państwami trzecimi, zarówno na szczeblu regionalnym, jak i międzynarodowym (w tym poprzez nieformalną unijną sieć cyberdyplomacji),
  • intensyfikowanie wymiany informacji z zainteresowanymi stronami, w szczególności poprzez regularne oraz zorganizowane wymiany z sektorem prywatnym, środowiskiem akademickim i przedstawicielami społeczeństwa obywatelskiego,
  • zaproponowanie unijnego programu budowania zewnętrznych zdolności w zakresie cyberbezpieczeństwa.

Cyberbezpieczeństwo w instytucjach, organach i jednostkach UE

KE zauważa, że poziom odporności na zagrożenia teleinformatyczne  i zdolności do odpowiedniego reagowania na nie w instytucjach, organach i jednostkach UE jest różny. W związku z tym konieczna jest poprawa ogólnego poziomu cyberbezpieczeństwa, a także opracowanie spójnych, jasnych zasad dotyczących tych jednostek. Należy również umożliwić sprawną wymianę informacji między państwami członkowskimi, opierając się w miarę możliwości na istniejących już procedurach. Dlatego, w 2021 Komisja Europejska przedstawi wnioski w sprawie wspólnych wiążących zasad dotyczących bezpieczeństwa informacji oraz cyberbezpieczeństwa, a także zwiększy inwestycje w tym obszarze.

Podsumowanie

  1. 16 grudnia 2020 Komisja Europejska przedstawiły nowy pakiet cyberbezpieczeństwa, w którego skład weszła nowa Strategia Cyberbezpieczeństwa UE – Wspólny komunikat Parlamentu Europejskiego i Rady Europy. Strategia cyberbezpieczeństwa UE. Zaufanie i bezpieczeństwo w centrum cyfrowej dekady.(Joint communication to The European Parliament and The Council. The EU’s Cybersecurity Strategy for the Digital Decade).
  2. Celem opracowanej strategii jest wzmocnienie UE jako lidera stanowienia prawa w dziedzinie cyberbezpieczeństwa. Strategia w znaczny sposób zbliża kwestie związane z cyberbezpieczeństwem oraz bezpieczeństwem fizycznym i postuluje większą koordynacje działań pomiędzy sferą cywilną a militarną.
  3. Strategia składa się z konkretnego zestawu inicjatyw regulacyjnych, inwestycyjnych i politycznych w następujących obszarach:
    • Odporność, technologiczna suwerenność i przywództwo,
    • Budowanie zdolności operacyjnych do zapobiegania, odstraszania i reagowania na incydenty w cyberprzestrzeni
    • Rozwój globalnej i otwartej cyberprzestrzeni poprzez zacieśnienie współpracy międzynarodowej.
  4. Najważniejsze inicjatywy w obszarze Odporność, technologiczna suwerenność i przywództwo:
    • przyjęcie zmienionej Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (Dyrektywa NIS 2),
    • wzrost inwestycji w obszarze cyberbezpieczeństwa  w latach 2021-2027 do wysokości 4,5 mld EUR w sektorze publicznym oraz prywatnych,
    • uruchomienie Sieci Centrów Operacyjnych ds. Bezpieczeństwa z wykorzystaniem technologii informacyjno-komunikacyjnych, ultra-zabezpieczonej oraz wykorzystującej technologie kwantowe,
  5. Najważniejsze inicjatywy w obszarze Budowanie zdolności operacyjnych do zapobiegania, odstraszania i reagowania na incydenty w cyberprzestrzeni:
    • uzupełnienie europejskich ram zarządzania kryzysowego w dziedzinie cyberbezpieczeństwa oraz określić główne procesy, etapy i harmonogram utworzenia wspólnej jednostki cyberbezpieczeństwa,
    • realizowanie programu walki z cyberprzestępczością w ramach unijnej strategii bezpieczeństwa,
    • opracowanie całościowej unijnej wizji i strategii wojskowej w zakresie cyberbezpieczeństwa,
  6. Najważniejsze inicjatywy w obszarze Rozwój globalnej i otwartej cyberprzestrzeni poprzez zacieśnienie współpracy międzynarodowej:
    • zdefiniowanie zestawu celów w procesach normalizacji i promowanie ich na arenie międzynarodowej,
    • zwiększenie bezpieczeństwa i stabilności w cyberprzestrzeni państw członkowskich,
    • skuteczna ochrona dzieci przed seksualnym wykorzystywaniem i ich niegodziwym traktowaniem w internecie, a także opracować strategię na rzecz praw dziecka,
  7. Ważnym aspektem dla Komisji Europejskiej jest opracowanie jasnych spójnych zasad funkcjonowania instytucji, organów i jednostek UE w obszarze cyberbezpieczeństwa.

[1] Digital Innovation Hub to międzynarodowy ośrodek wspierany przez Komisję Europejską, który pomaga przedsiębiorstwom w poprawie ich konkurencyjności na rynku, w głównej mierze poprzez pracę nad procesami biznesowymi i produkcyjnymi, ale również rozwijaniem produktów i usług z wykorzystaniem technologii cyfrowych.

TAGI Strategia, Unia Europejska,