Ramy oceny narodowych zdolności w obszarze cyberbezpieczeństwa (NCAF)

Dyrektywa NIS narzuciła Państwom Członkowskim opracowanie i wdrożenie narodowych strategii cyberbezpieczeństwa. Kolejnym nierozerwalnie związanym z tym aspektem jest konieczność oceny efektywności ich implementacji oraz funkcjonowania. Narzędziem, które do tego służy są ramy oceny narodowych zdolności w obszarze cyberbezpieczeństwa (National Capabilities Assessment Framework, NCAF)

Czym jest NCAF?

Ramy oceny narodowych zdolności w obszarze cyberbezpieczeństwa (National Capabilities Assessment Framework lub w skrócie NCAF) są efektem pracy Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Powstały w celu umożliwienia Państwom Członkowskim samodzielnej oceny poziomu dojrzałości w obszarze cyberbezpieczeństwa oraz postępów we wdrażaniu postanowień ich własnych narodowych strategii cyberbezpieczeństwa. W założeniu ma to przełożyć się na zbudowanie lub zwiększenie zdolności w obszarze cyberbezpieczeństwa, zarówno na poziomie strategicznym, jak i operacyjnym. NCAF ma również na celu przedstawienie modelu dojrzałości w obszarze cyberbezpieczeństwa, do którego Państwa Członkowskie mogą odnosić krajowe rozwiązania i koncepcje.

NCAF zostały stworzone przez ekspertów ENISA, przedstawicieli dziewiętnastu Państw Członkowskich UE oraz EFTA. Do grona docelowych odbiorców autorzy zaliczają przede wszystkim przedstawicieli władzy ustawodawczej, a także ekspertów i urzędników na szczeblu rządowym, odpowiedzialnych lub zaangażowanych w opracowywanie, wdrażanie oraz ocenę narodowych strategii cyberbezpieczeństwa.

W tym kontekście NCAF stanowią narzędzie, określające strategiczne zasady i cele, a także wytyczne, priorytety oraz adekwatne do ich wdrożenia polityki i środki przy jednoczesnym celu osiągnięcia i utrzymania wysokiego poziomu cyberbezpieczeństwa. Przygotowanie oraz rozpowszechnianie NCAF są także wypełnianiem postanowień Aktu o cyberbezpieczeństwie odnośnie roli ENISA w propagowaniu dobrych praktyk i zaleceń w odniesieniu do wdrażania krajowych systemów cyberbezpieczeństwa, implementowania przepisów dyrektywy NIS oraz gromadzeniu doświadczeń i opinii Państw Członkowskich.

NCAF pozwalają na dokonanie oceny siedemnastu celów strategicznych podzielonych na cztery główne obszary. Podział ten ma pomóc Państwom Członkowskim ocenić poziom dojrzałości przyjętych systemów i strategii cyberbezpieczeństwa krajowego. Umożliwi to wykrycie ewentualnych braków lub luk w implementowanych rozwiązaniach, a w związku z tym także reagowanie na nie w odpowiednim czasie oraz wprowadzanie niezbędnych modyfikacji. Zidentyfikowanie niedostatków krajowego systemu cyberbezpieczeństwa poprzez jego samodzielne sprawdzanie i audytowanie, z uwzględnieniem zawartych w NCAF celów strategicznych, stanowi według autorów szansę na przeciwdziałanie cyberzagrożeniom, a także może działać jako katalizator rozwoju gospodarczego, w tym przemysłowego, oraz społecznego.

Główne założenia NCAF

NCAF jako narzędzie umożliwiają i ułatwiają Państwom Członkowskim:

  • Określenie zakresu informacji potrzebnych do opracowywania długoterminowych strategii (np. w formie standardów, dobrych praktyk lub wytycznych),
  • Identyfikowanie braków lub luk w istniejących narodowych strategiach cyberbezpieczeństwa,
  • Rozwijanie istniejących zdolności w obszarze cyberbezpieczeństwa,
  • Wdrażanie rozwiązań związanych z rozliczaniem w ramach odpowiedzialności politycznej,
  • Zwiększanie wiarygodności wśród społeczeństwa oraz wobec partnerów międzynarodowych,
  • Komunikację zewnętrzną oraz umacnianie reputacji jako podmiotu działającego w sposób przejrzysty,
  • Wspomaganie działań z zakresu prognozowania potencjalnych przyszłych problemów w obszarze cyberbezpieczeństwa,
  • Opracowanie i analizę wniosków z dotychczasowych doświadczeń oraz opracowywanie na tej podstawie dobrych praktyk,
  • Zapewnienie przekazania podstawowych informacji na temat zdolności w obszarze cyberbezpieczeństwa oraz
  • Ocenę krajowych zdolności w obszarze cyberbezpieczeństwa.

Ramy oceny narodowych zdolności w obszarze cyberbezpieczeństwa obejmują siedemnaście celów strategicznych podzielonych na cztery główne obszary tzw. klastry:

Podsumowanie

  • Ramy oceny narodowych zdolności w obszarze cyberbezpieczeństwa (NCAF) są narzędziem do samodzielnej oceny poziomu dojrzałości w obszarze cyberbezpieczeństwa Państw Członkowskich oraz postępów we wdrażaniu postanowień ich własnych narodowych strategii cyberbezpieczeństwa. Są także wypełnianiem postanowień Aktu o cyberbezpieczeństwie odnośnie roli ENISA w kształtowaniu europejskiego krajobrazu cyberbezpieczeństwa.
  • NCAF określają strategiczne zasady i cele, a także wytyczne, priorytety oraz adekwatne do ich wdrożenia polityki i środki.
  • NCAF ustanawia także model dojrzałości w obszarze cyberbezpieczeństwa jako punkt odniesienia dla Państw Członkowskich przy tworzeniu krajowych rozwiązań i koncepcji.
  • NCAF wyróżniają siedemnaście celów strategicznych podzielonych na cztery główne obszary, tzw. klastry: „Standardy oraz zarządzanie cyberbezpieczeństwem”, „Budowanie zdolności oraz świadomości w obszarze cyberbezpieczeństwa”, „Prawne i regulacyjne aspekty cyberbezpieczeństwa” oraz „Współpraca w obszarze cyberbezpieczeństwa”.
  • NCAF mają pozwolić na zidentyfikowanie niedostatków krajowych systemów cyberbezpieczeństwa oraz w efekcie przeciwdziałanie cyberzagrożeniom, a także katalizowanie rozwoju gospodarczego i społecznego.
TAGI ENISA, Strategia, Unia Europejska,