Dyrektywa NIS narzuciła Państwom Członkowskim opracowanie i wdrożenie narodowych strategii cyberbezpieczeństwa. Kolejnym nierozerwalnie związanym z tym aspektem jest konieczność oceny efektywności ich implementacji oraz funkcjonowania. Narzędziem, które do tego służy są ramy oceny narodowych zdolności w obszarze cyberbezpieczeństwa (National Capabilities Assessment Framework, NCAF)

Czym jest NCAF?

Ramy oceny narodowych zdolności w obszarze cyberbezpieczeństwa (National Capabilities Assessment Framework lub w skrócie NCAF) są efektem pracy Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Powstały w celu umożliwienia Państwom Członkowskim samodzielnej oceny poziomu dojrzałości w obszarze cyberbezpieczeństwa oraz postępów we wdrażaniu postanowień ich własnych narodowych strategii cyberbezpieczeństwa. W założeniu ma to przełożyć się na zbudowanie lub zwiększenie zdolności w obszarze cyberbezpieczeństwa, zarówno na poziomie strategicznym, jak i operacyjnym. NCAF ma również na celu przedstawienie modelu dojrzałości w obszarze cyberbezpieczeństwa, do którego Państwa Członkowskie mogą odnosić krajowe rozwiązania i koncepcje.

NCAF zostały stworzone przez ekspertów ENISA, przedstawicieli dziewiętnastu Państw Członkowskich UE oraz EFTA. Do grona docelowych odbiorców autorzy zaliczają przede wszystkim przedstawicieli władzy ustawodawczej, a także ekspertów i urzędników na szczeblu rządowym, odpowiedzialnych lub zaangażowanych w opracowywanie, wdrażanie oraz ocenę narodowych strategii cyberbezpieczeństwa.

W tym kontekście NCAF stanowią narzędzie, określające strategiczne zasady i cele, a także wytyczne, priorytety oraz adekwatne do ich wdrożenia polityki i środki przy jednoczesnym celu osiągnięcia i utrzymania wysokiego poziomu cyberbezpieczeństwa. Przygotowanie oraz rozpowszechnianie NCAF są także wypełnianiem postanowień Aktu o cyberbezpieczeństwie odnośnie roli ENISA w propagowaniu dobrych praktyk i zaleceń w odniesieniu do wdrażania krajowych systemów cyberbezpieczeństwa, implementowania przepisów dyrektywy NIS oraz gromadzeniu doświadczeń i opinii Państw Członkowskich.

NCAF pozwalają na dokonanie oceny siedemnastu celów strategicznych podzielonych na cztery główne obszary. Podział ten ma pomóc Państwom Członkowskim ocenić poziom dojrzałości przyjętych systemów i strategii cyberbezpieczeństwa krajowego. Umożliwi to wykrycie ewentualnych braków lub luk w implementowanych rozwiązaniach, a w związku z tym także reagowanie na nie w odpowiednim czasie oraz wprowadzanie niezbędnych modyfikacji. Zidentyfikowanie niedostatków krajowego systemu cyberbezpieczeństwa poprzez jego samodzielne sprawdzanie i audytowanie, z uwzględnieniem zawartych w NCAF celów strategicznych, stanowi według autorów szansę na przeciwdziałanie cyberzagrożeniom, a także może działać jako katalizator rozwoju gospodarczego, w tym przemysłowego, oraz społecznego.

Główne założenia NCAF

NCAF jako narzędzie umożliwiają i ułatwiają Państwom Członkowskim:

• Określenie zakresu informacji potrzebnych do opracowywania długoterminowych strategii (np. w formie standardów, dobrych praktyk lub wytycznych),
• Identyfikowanie braków lub luk w istniejących narodowych strategiach cyberbezpieczeństwa,
• Rozwijanie istniejących zdolności w obszarze cyberbezpieczeństwa,
• Wdrażanie rozwiązań związanych z rozliczaniem w ramach odpowiedzialności politycznej,
• Zwiększanie wiarygodności wśród społeczeństwa oraz wobec partnerów międzynarodowych,
• Komunikację zewnętrzną oraz umacnianie reputacji jako podmiotu działającego w sposób przejrzysty,
• Wspomaganie działań z zakresu prognozowania potencjalnych przyszłych problemów w obszarze cyberbezpieczeństwa,
• Opracowanie i analizę wniosków z dotychczasowych doświadczeń oraz opracowywanie na tej podstawie dobrych praktyk,
• Zapewnienie przekazania podstawowych informacji na temat zdolności w obszarze cyberbezpieczeństwa oraz
• Ocenę krajowych zdolności w obszarze cyberbezpieczeństwa.

Ramy oceny narodowych zdolności w obszarze cyberbezpieczeństwa obejmują siedemnaście celów strategicznych podzielonych na cztery główne obszary tzw. klastry:

Podsumowanie

• Ramy oceny narodowych zdolności w obszarze cyberbezpieczeństwa (NCAF) są narzędziem do samodzielnej oceny poziomu dojrzałości w obszarze cyberbezpieczeństwa Państw Członkowskich oraz postępów we wdrażaniu postanowień ich własnych narodowych strategii cyberbezpieczeństwa. Są także wypełnianiem postanowień Aktu o cyberbezpieczeństwie odnośnie roli ENISA w kształtowaniu europejskiego krajobrazu cyberbezpieczeństwa.
• NCAF określają strategiczne zasady i cele, a także wytyczne, priorytety oraz adekwatne do ich wdrożenia polityki i środki.
• NCAF ustanawia także model dojrzałości w obszarze cyberbezpieczeństwa jako punkt odniesienia dla Państw Członkowskich przy tworzeniu krajowych rozwiązań i koncepcji.
• NCAF wyróżniają siedemnaście celów strategicznych podzielonych na cztery główne obszary, tzw. klastry: „Standardy oraz zarządzanie cyberbezpieczeństwem”, „Budowanie zdolności oraz świadomości w obszarze cyberbezpieczeństwa”, „Prawne i regulacyjne aspekty cyberbezpieczeństwa” oraz „Współpraca w obszarze cyberbezpieczeństwa”.
• NCAF mają pozwolić na zidentyfikowanie niedostatków krajowych systemów cyberbezpieczeństwa oraz w efekcie przeciwdziałanie cyberzagrożeniom, a także katalizowanie rozwoju gospodarczego i społecznego.