Polityka cyberbezpieczeństwa

Nowa strategia

Pod koniec 2020 r. Komisja Europejska i Wysoki Przedstawiciel Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa przedstawili nową strategię UE w zakresie cyberbezpieczeństwa.

Strategia obejmuje bezpieczeństwo podstawowych usług, takich jak szpitale, sieci energetyczne i koleje. Obejmuje również bezpieczeństwo coraz większej liczby połączonych obiektów w naszych domach, biurach i fabrykach.

Strategia koncentruje się na budowaniu wspólnych zdolności reagowania na poważne cyberataki i współpracy z partnerami na całym świecie w celu zapewnienia międzynarodowego bezpieczeństwa i stabilności w cyberprzestrzeni. Przedstawiono w nim, w jaki sposób wspólna jednostka ds. cyberprzestrzeni może zapewnić najskuteczniejszą reakcję na zagrożenia cybernetyczne, korzystając ze wspólnych zasobów i wiedzy fachowej dostępnej UE i państwom członkowskim.

Prawodawstwo i certyfikacja

Dyrektywa w sprawie bezpieczeństwa sieci i systemów informatycznych (dyrektywa w sprawie bezpieczeństwa sieci i informacji)

Zagrożenia dla cyberbezpieczeństwa mają niemal zawsze charakter transgraniczny, a cyberataki na krytyczne obiekty jednego kraju mogą mieć wpływ na całą UE. Kraje UE muszą mieć silne organy rządowe, które nadzorują cyberbezpieczeństwo w swoim kraju i współpracują ze swoimi odpowiednikami w innych państwach członkowskich poprzez wymianę informacji. Jest to szczególnie ważne w przypadku sektorów, które mają kluczowe znaczenie dla naszych społeczeństw.

Dyrektywa w sprawie bezpieczeństwa sieci i informacji, którą wszystkie państwa wdrożyły, zapewnia tworzenie i współpracę takich organów rządowych. Dyrektywa ta została poddana przeglądowi pod koniec 2020 r.

W wyniku procesu przeglądu w dniu 16 grudnia 2020 r. Komisja przedstawiła wniosek dotyczący dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (dyrektywa NIS2).

ENISA – unijna agencja ds. cyberbezpieczeństwa

ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) jest agencją UE zajmującą się cyberbezpieczeństwem. Zapewnia wsparcie państwom członkowskim, instytucjom UE i przedsiębiorstwom w kluczowych obszarach, w tym we wdrażaniu dyrektywy w sprawie bezpieczeństwa sieci i informacji.

Ustawa o cyberbezpieczeństwie

Akt o cyberbezpieczeństwie wzmacnia rolę ENISA. Agencja posiada obecnie stały mandat i jest uprawniona do przyczyniania się do zacieśnienia współpracy operacyjnej i zarządzania kryzysowego w całej UE. Posiada również więcej zasobów finansowych i ludzkich niż wcześniej.

Certyfikacja

Nasze cyfrowe życie może działać dobrze tylko wtedy, gdy istnieje powszechne zaufanie publiczne do cyberbezpieczeństwa produktów i usług IT. Ważne jest, abyśmy mogli zobaczyć, że produkt został sprawdzony i certyfikowany pod kątem zgodności z wysokimi standardami cyberbezpieczeństwa. Obecnie w całej UE istnieją różne systemy certyfikacji bezpieczeństwa produktów informatycznych. Posiadanie jednego wspólnego systemu certyfikacji byłoby łatwiejsze i jaśniejsze dla wszystkich.

W związku z tym Komisja pracuje nad ogólnounijnymi ramami certyfikacji, których sercem jest ENISA. W akcie o cyberbezpieczeństwie określono proces realizacji tych ram.

Inwestycje

Plan odbudowy

Cyberbezpieczeństwo jest jednym z priorytetów Komisji w reakcji na kryzys związany z koronawirusem, ponieważ podczas blokady doszło do nasilenia cyberataków. Plan odbudowy dla Europy obejmuje dodatkowe inwestycje w cyberbezpieczeństwo.

Wsparcie badań naukowych i innowacji: Program „Horyzont 2020” i cPPP; Program „Horyzont Europa”

Badania nad bezpieczeństwem cyfrowym są niezbędne do budowania innowacyjnych rozwiązań, które mogą nas chronić przed najnowszymi, najbardziej zaawansowanymi zagrożeniami cybernetycznymi. Dlatego cyberbezpieczeństwo jest ważną częścią programu „Horyzont 2020” i jego następcą programu „Horyzont Europa”. 

W programie „Horyzont Europa” na lata 2021–2027 cyberbezpieczeństwo jest częścią klastra „Bezpieczeństwo cywilne dla społeczeństwa”. Obecnie przygotowywany jest program prac na lata 2021–2022.

W ramach programu „Horyzont 2020” Komisja współfinansowała badania naukowe i innowacje w takich dziedzinach, jak gotowość na cyberbezpieczeństwo za pomocą cyberprzestrzeni i symulacji, cyberbezpieczeństwo dla małych i średnich przedsiębiorstw, cyberbezpieczeństwo w systemie elektroenergetycznym i energetycznym oraz cyberbezpieczeństwo i ochrona danych w sektorach krytycznych. Tematy te wchodzą w zakres klastra „Bezpieczne społeczeństwa – ochrona wolności i bezpieczeństwa Europy i jej obywateli”.

W 2016 r. między Komisją Europejską a Europejską Organizacją Bezpieczeństwa Cyberbezpieczeństwa (ECSO), stowarzyszeniem składającym się z członków z branży cyberprzemysłu, środowiska akademickiego, administracji publicznej i innych podmiotów, utworzono umowne partnerstwo publiczno-prywatne programu „Horyzont 2020” w dziedzinie cyberbezpieczeństwa (cPPP) w dziedzinie cyberbezpieczeństwa.

Wsparcie na rzecz zdolności w zakresie cyberprzestrzeni i ich wdrażania

Nasza infrastruktura fizyczna i cyfrowa są ze sobą ściśle powiązane. W związku z tym Komisja zainwestowała również w cyberbezpieczeństwo w ramach swojego programu finansowania inwestycji infrastrukturalnych, instrumentu „Łącząc Europę” na lata 2014–2020.

Wsparcie w ramach instrumentu „Łącząc Europę” zostało przekazane zespołom reagowania na incydenty bezpieczeństwa komputerowego, operatorom usług kluczowych (OES), dostawcom usług cyfrowych, pojedynczym punktom kontaktowym (SPOC) i właściwym organom krajowym. Wzmacnia to zdolności w zakresie cyberbezpieczeństwa i współpracę transgraniczną w UE, wspierając wdrażanie strategii UE w zakresie cyberbezpieczeństwa.

Program „Cyfrowa Europa” na lata 2021–2027 jest ambitnym programem, który planuje zainwestować 1,9 mld EUR w zdolności w zakresie cyberbezpieczeństwa oraz szeroko zakrojone wdrożenie infrastruktury i narzędzi cyberbezpieczeństwa w całej UE dla administracji publicznych, przedsiębiorstw i osób fizycznych.

Cyberbezpieczeństwo jest również częścią InvestEU. InvestEU to program ogólny, który łączy wiele instrumentów finansowych i wykorzystuje inwestycje publiczne do zabezpieczenia dalszych inwestycji z sektora prywatnego. Jego strategiczny instrument inwestycyjny będzie wspierał kluczowe łańcuchy wartości w dziedzinie cyberbezpieczeństwa. Jest to ważna część pakietu odbudowy w odpowiedzi na kryzys związany z koronawirusem.

Centrum Kompetencji w dziedzinie cyberbezpieczeństwa i sieć; Dodaj do koszyka

Europejskie centrum kompetencji w dziedzinie cyberbezpieczeństwa, przemysłowe, technologiczne i badawcze połączy wiedzę fachową i dostosuje europejski rozwój i wdrażanie technologii cyberbezpieczeństwa. Będzie współpracować z przemysłem, środowiskiem akademickim i innymi podmiotami, aby stworzyć wspólny program inwestycji w cyberbezpieczeństwo oraz zdecydować o priorytetach finansowania badań, rozwoju i wdrażania rozwiązań w dziedzinie cyberbezpieczeństwa w ramach programów „Horyzont Europa” i „Cyfrowa Europa”.

Obecnie trwają cztery projekty pilotażowe mające na celu stworzenie podstaw dla Centrum Kompetencji i Sieci. Uczestniczy w nich ponad 170 partnerów.

Aby uzyskać lepszy przegląd wiedzy fachowej i zdolności w zakresie cyberbezpieczeństwa w całej UE, Komisja opracowała kompleksową platformę o nazwie Atlas cyberbezpieczeństwa.

Wytyczne dotyczące polityki

Plan skoordynowanej reakcji na poważne cyberataki

Plan Komisji dotyczący szybkiego reagowania kryzysowego zawiera plan w przypadku zakrojonego na szeroką skalę transgranicznego incydentu cybernetycznego lub kryzysu. Określono w nim cele i sposoby współpracy między państwami członkowskimi a instytucjami UE w zakresie reagowania na takie incydenty i kryzysy. Wyjaśniono w nim, w jaki sposób istniejące mechanizmy zarządzania kryzysowego mogą w pełni wykorzystywać istniejące podmioty zajmujące się cyberbezpieczeństwem na szczeblu UE.

Wspólna jednostka ds. cyberprzestrzeni

W ramach działań następczych przewodnicząca Komisji Ursula von der Leyen ogłosiła wniosek dotyczący ogólnounijnej wspólnej jednostki ds. cyberbezpieczeństwa. Zalecenie w sprawie utworzenia wspólnej jednostki ds. cyberbezpieczeństwa zapowiedziane przez Komisję w dniu 23 czerwca 2021 r. jest ważnym krokiem w kierunku dokończenia europejskich ram zarządzania kryzysami cybernetycznymi. Jest to konkretny rezultat unijnej strategii bezpieczeństwa cybernetycznego i strategii UEna rzecz unii bezpieczeństwa, przyczyniając się do zapewnienia bezpiecznej gospodarki cyfrowej i bezpiecznego społeczeństwa cyfrowego.

Wspólna jednostka ds. cyberbezpieczeństwa będzie działać jako platforma zapewniająca skoordynowaną reakcję UE na incydenty i kryzysy cybernetyczne na dużą skalę, a także oferować pomoc w wychodzeniu z tych ataków.

Bezpieczne wdrożenie sieci 5G w UE

Sieć 5G ma zostać uruchomiona w całej UE. Będą one oferować ogromne korzyści, ale mają również więcej potencjalnych punktów wejścia dla atakujących ze względu na mniej scentralizowany charakter ich architektury, większą liczbę anten i zwiększoną zależność od oprogramowania. Unijny zestaw narzędzi w zakresie sieci 5G określa środki mające na celu wzmocnienie wymogów bezpieczeństwa dla sieci 5G, stosowanie odpowiednich ograniczeń w odniesieniu do dostawców uznanych za obarczonych wysokim ryzykiem oraz zapewnienie dywersyfikacji dostawców.

Zabezpieczenie procesu wyborczego

Nasze europejskie demokracje stają się coraz bardziej cyfrowe: kampanie polityczne odbywają się online, a same wybory odbywają się poprzez głosowanie elektroniczne w wielu krajach. 

Komisja wydała zalecenia dotyczące cyberbezpieczeństwa wyborów do Parlamentu Europejskiego w ramach szerszego pakietu zaleceń wspierających wolne i uczciwe wybory europejskie. Miesiąc przed wyborami europejskimi w 2019 r. Parlament Europejski, kraje UE, Komisja i ENISA przeprowadziły na żywo test ich gotowości.

Umiejętności i świadomość

Umiejętności

Możemy zapewnić bezpieczeństwo cyfrowe tylko wtedy, gdy dysponujemy ekspertami z odpowiednią wiedzą i umiejętnościami, a obecnie nie ma ich wystarczająco dużo. Dlatego też Komisja podejmuje działania mające na celu stymulowanie rozwoju umiejętności w zakresie cyberbezpieczeństwa.

Komisja przygotowała wezwanie do ustanowienia spójnych ram nauczania umiejętności w zakresie cyberbezpieczeństwa na uniwersytecie i w kształceniu zawodowym. Obecnie trwają prace nad czterema projektami pilotażowymi, które przygotowują centrum kompetencji i sieć w dziedzinie cyberbezpieczeństwa przez ECSO. Istnieją również powtarzające się inicjatywy skierowane bezpośrednio do studentów, takie jak coroczne europejskie wyzwanie w zakresie cyberbezpieczeństwa.

Umiejętności w zakresie cyberbezpieczeństwa wchodzą w zakres ogólnego programu Komisji w zakresie umiejętności cyfrowych. Są one również częścią działań na rzecz finansowania w ramach programu „Horyzont 2020”, programu „Horyzont Europa” i programu „Cyfrowa Europa”. Jednym z przykładów jest finansowanie „cyber zakresów”, które są środowiskami symulacyjnymi na żywo cyberzagrożeń dla szkoleń.

Świadomość

Czynnik ludzki jest często słabym ogniwem cyberbezpieczeństwa: ktoś, kto kliknie na link phishingowy, może mieć ogromne konsekwencje. W związku z tym Komisja podnosi świadomość na temat cyberbezpieczeństwa i promuje najlepsze praktyki wśród ogółu społeczeństwa. Na przykład raz w roku organizuje ona Europejski Miesiąc Bezpieczeństwa Cyberbezpieczeństwa wraz z ENISA.

Cyberspołeczność

ENISA – unijna agencja ds. cyberbezpieczeństwa

ENISA jest unijną agencją zajmującą się cyberbezpieczeństwem. Zapewnia wsparcie państwom członkowskim, instytucjom UE i przedsiębiorstwom w kluczowych obszarach, w tym we wdrażaniu dyrektywy w sprawie bezpieczeństwa sieci i informacji.

ISAC-y

Centra wymiany informacji i analiz (ISAC) wspierają współpracę między społecznością cyberbezpieczeństwa w różnych sektorach gospodarki. Dalszy rozwój ISAC zarówno na szczeblu unijnym, jak i krajowym jest priorytetem Komisji. WE współpracy z ENISA Komisja wspiera również tworzenie nowych ISAC w sektorach, które nie są objęte programem. Nadzorowane przez Komisję konsorcjum UE ISAC zapewnia wsparcie prawne, techniczne i organizacyjne dla ISAC.

JRC

Wspólne Centrum Badawcze (JRC) Komisji aktywnie przyczynia się do cyberbezpieczeństwa w UE. Na przykład JRC opracowało taksonomię cyberbezpieczeństwa. Dostosowuje to terminologię stosowaną w cyberbezpieczeństwie, abyśmy mogli uzyskać jaśniejszy przegląd zdolności w zakresie cyberbezpieczeństwa w UE.

JRC opublikowało również niedawno sprawozdanie, które zawiera wgląd w obecny krajobraz UE w zakresie cyberbezpieczeństwa i jego historię, zatytułowane „Bezpieczeństwo cybernetyczne – nasza cyfrowa kotwica”.

CSIRT/CERT

Na mocy dyrektywy w sprawie bezpieczeństwa sieci i informacji państwa członkowskie UE są zobowiązane do zapewnienia, aby posiadały dobrze funkcjonujące zespoły reagowania na incydenty bezpieczeństwa komputerowego („CSIRT”), znane również jako zespoły reagowania na incydenty komputerowe („CERT”). Zespoły te zajmują się cyberincydentami i zagrożeniami w praktyce. Współpracują ze sobą na szczeblu UE, a także współpracują z sektorem prywatnym. Wszystkie rodzaje operatorów usług podstawowych i dostawców usług cyfrowych muszą być objęte wyznaczonymi CSIRT.

Główne zadania CSIRT to:

• monitorowanie incydentów na szczeblu krajowym;
• wczesne ostrzeganie, ostrzeżenia, ogłoszenia i inne informacje na temat zagrożeń i incydentów odpowiednim zainteresowanym stronom;
• reagowanie na incydenty;
• zapewnienie dynamicznej analizy ryzyka i incydentów oraz orientacji sytuacyjnej;
• udział w sieci CSIRT.

ECSO

Europejska Organizacja ds. Cyberbezpieczeństwa (ECSO) została utworzona w 2016 r. w celu działania jako odpowiednik Komisji w ramach umownego partnerstwa publiczno-prywatnego obejmującego program „Horyzont 2020” w latach 2016–2020. Większość z 250 członków ECSO należy do branży cyberbezpieczeństwa lub do instytucji badawczych i akademickich w tej dziedzinie. W mniejszym stopniu członkowie ECSO obejmują również podmioty sektora publicznego i branże po stronie popytu.

Oprócz zaleceń dotyczących programu „Horyzont 2020”, ECSO prowadzi różne działania mające na celu budowanie społeczności i rozwój przemysłowy na szczeblu europejskim.

Kobiety4Cyber

Ważne jest, aby podkreślić rolę kobiet w społeczności cyberbezpieczeństwa, które są niedostatecznie reprezentowane. Dlatego Komisja utworzyła rejestr Women4Cyber,we współpracy z inicjatywą ECSO Women4Cyber. Ułatwia to mediom, organizatorom wydarzeń i innym osobom znalezienie wielu utalentowanych kobiet pracujących w cyberbezpieczeństwie, dzięki czemu kobiety te stają się bardziej widoczne i widoczne w cyberspołeczności i debacie publicznej.

Inne obszary polityki w zakresie cyberbezpieczeństwa

Cyberprzestępczość

Zwykli przestępcy wykorzystują cyberataki, które zagrażają Europejczykom. Departament ds. Migracji i Spraw Wewnętrznych Komisji monitoruje i aktualizuje przepisy UE dotyczące cyberprzestępczości oraz wspiera zdolności organów ścigania. Komisja współpracuje również z Europejskim Centrum ds. Walki z Cyberprzestępczością w Europolu.

Dyplomacja cybernetyczna

UE dokłada starań, aby chronić się przed zagrożeniami cybernetycznymi spoza jej granic. W tym kontekście Komisja współpracuje z Europejską Służbą Działań Zewnętrznych i państwami członkowskimi nad wdrożeniem wspólnej dyplomatycznej reakcji na szkodliwe działania cybernetyczne („zestaw narzędzi do dyplomacji cyfrowej”). Odpowiedź ta obejmuje współpracę dyplomatyczną i dialog, środki zapobiegawcze przeciwko cyberatakom oraz sankcje wobec osób zaangażowanych w cyberataki zagrażające UE.

W razie potrzeby Komisja pomaga w podejmowaniu decyzji dotyczących reagowania na zewnętrzne zagrożenia cybernetyczne. Bezpośrednio finansuje również trwającą unijną inicjatywę wspierania dyplomacji cybernetycznej.

Obrona

UE współpracuje w dziedzinie obronności w cyberprzestrzeni poprzez działania Europejskiej Agencji Obrony, a także ENISA, Europolu i Dyrekcji Generalnej Komisji odpowiedzialnej za przemysł obronny.

Budowanie zdolności cybernetycznych w państwach trzecich

UE współpracuje z innymi państwami, aby pomóc w budowaniu ich zdolności do obrony przed zagrożeniami dla cyberbezpieczeństwa. Komisja wspiera różne programy cyberbezpieczeństwa na Bałkanach Zachodnich i sześciu krajach Partnerstwa Wschodniego w bezpośrednim sąsiedztwie UE, a także w innych krajach na całym świecie za pośrednictwem swojego departamentu ds. współpracy międzynarodowej i rozwoju.