Nowe wspólne regulacje unijne dotyczące cyberbezpieczeństwa oraz bezpieczeństwa informacji

Piotr Słowiński Aktualności z Brukseli, Strategia cyberbezpieczeństwa, Wszystkie wpisy Unia Europejska,

W dniu 22 marca Komisja Europejska opublikowała propozycję nowych przepisów, mających na celu ustanowienie wspólnych środków na rzecz cyberbezpieczeństwa oraz bezpieczeństwa informacji we wszystkich instytucjach, organach, urzędach i agencjach UE w celu wzmocnienia ich odporności na incydenty i cyberzagrożenia oraz zdolności reagowania na nie.

Nowa propozycja przepisów dotyczących cyberbezpieczeństwa oraz bezpieczeństwa informacji

Występujące współcześnie współzależności między urządzeniami, sieciami i programami powodują, że pojedynczy incydent może stanowić zagrożenie dla całej organizacji lub struktury. W związku z tym wzrasta znaczenie wdrażania przepisów, procedur oraz rozwiązań technicznych wzmacniających zdolności w zakresie odporności, obrony przed i reagowania na incydenty oraz cyberzagrożenia, także na poziomie instytucji unijnych. Zmieniająca się sytuacja geopolityczna oraz pandemia COVID-19 uwidoczniła potrzebę wprowadzania wspólnego podejścia w zakresie cyberbezpieczeństwa, aby efektywnie odpowiadać na współczesne zagrożenia dla ekosystemu bezpieczeństwa UE.

Zakres przedmiotowy Rozporządzenia ws. Cyberbezpieczeństwa

Jednym z elementów realizujących ten postulat ma być propozycja Rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach, urzędach i agencjach Unii, określane także mianem Rozporządzeniem ws. Cyberbezpieczeństwa (Cybersecurity Regulation). Ma ono ustanawiać ramy zapewniające wspólne przepisy i środki w zakresie cyberbezpieczeństwa dla instytucji, organów i agencji Unii, określając ramy oraz środki nadzoru i kontroli oraz zarządzania ryzykiem. Ponadto na gruncie przepisów Rozporządzenia mają powstać zarówno nowe podmioty, a dotychczas istniejące zyskają nowe, rozszerzone zadania.

Do kluczowych elementów propozycji Rozporządzenia należą:

  • uaktualnienie istniejących regulacji prawnych dotyczących CERT-EU, w tym wzmocnienia jego mandatu oraz zapewnienie odpowiednich środków na jego realizację, a także zmiana pełnej nazwy (z zachowaniem dotychczasowego skrótu) na Centrum Cyberbezpieczeństwa,
  • utworzenie Międzyinstytucjonalnej Rady ds. Cyberbezpieczeństwa, odpowiedzialna za monitorowanie wdrażania przepisów Rozporządzenia przez instytucje i podmioty UE oraz nadzór na realizacją priorytetów i celów przez CERT-EU oraz zapewnienie mu strategicznego kierunku działania,
  • nałożenie na wszystkie unijne instytucje, organy i agencje nowych obowiązków w zakresie cyberbezpieczeństwa:
    • wdrożenie ram oraz środków nadzoru i kontroli oraz zarządzania ryzykiem
    • wprowadzenie podstawowych środków bezpieczeństwa wobec zidentyfikowanych cyberzagrożeń,
    • przeprowadzanie regularnych ocen dojrzałości,
    • opracowanie planu poprawy cyberbezpieczeństwa,
    • Bieżąca wymiana informacji o incydentach z CERT-EU

Na gruncie propozycji Rozporządzenia ws. Cyberbezpieczeństwa rozszerzeniu uległ mandat CERT-UE o zadania z obszaru threat intelligence, wymiany informacji oraz działań koordynujących w zakresie reagowania na incydenty, a także doradztwo oraz świadczenie usług w zakresie kompetencji i zadań.

Zakres przedmiotowy Rozporządzenia ws. Bezpieczeństwa Informacji

Drugą z regulacji, mającą stworzyć zasady w obszarze bezpieczeństwa informacji, ma być propozycja Rozporządzenia Parlamentu Europejskiego i Rady w sprawie bezpieczeństwa informacji w instytucjach, organach, urzędach i agencjach Unii, nazywanego również Rozporządzeniem ws. Bezpieczeństwa Informacji (Information Security Regulation). Biorąc pod uwagę stale rosnącą ilość wrażliwych informacji jawnych i niejawnych w UE, z którymi mają do czynienia instytucje, i podmioty unijne, proponowane Rozporządzenie ma na celu zwiększenie ochrony informacji poprzez uproszczenie zróżnicowanych ram prawnych.

Celem przyjęcia przepisów jest dążenie do wskazania reguł i standardów minimalnych w zakresie bezpieczeństwa informacji na poziomie instytucji i podmiotów unijnych, aby zapewnić jednolitą i zwiększoną niż do tej pory ochronę przed zagrożeniami w tej sferze. Zasady przyjęte na gruncie przepisów nowego Rozporządzenia mają opierać się o ustandaryzowane praktyki i środki w zakresie bezpieczeństwa przepływu informacji i w konsekwencji stanowić podstawę dla bezpiecznej wymiany danych pomiędzy instytucjami i podmiotami UE, a także Państwami Członkowskimi.

Kluczowymi regulacjami, zawartymi w rozporządzeniu mają być:

  • Ustanowienie skutecznego systemu zarządzania w celu wspierania współpracy między wszystkimi instytucjami i organami UE, w tym w szczególności międzyinstytucjonalną grupą koordynacyjną ds. bezpieczeństwa informacji;
  • Wprowadzenie wspólnego modelu postępowania w zakresie klasyfikacji informacji, w zależności od ich poufności;
  • Zaktualizowanie polityki bezpieczeństwa informacji, w szczególności wobec rozwoju pracy zdalnej oraz postępującej transformacji cyfrowej;
  • Usprawnienie aktualnych praktyk oraz większa harmonizacja pomiędzy systemami i urządzeniami.

TAGI Unia Europejska,

Zobacz także: