KE planuje nowe zasady cyberbezpieczeństwa w Unii. Centra monitorowania w każdym kraju członkowskim

We wtorek Komisja Europejska zapowiedziała wprowadzenie nowych przepisów, zgodnie z którymi amerykańskie firmy technologiczne będą zagrożone grzywną w wysokości do 10 proc. rocznego obrotu, mogą też zostać podzielone jeśli nie będą respektować regulacji UE.

Rozwiązanie ma z jednej strony ograniczyć dominującą pozycję takich graczy jak Google czy Facebook na obszarze wspólnoty, z drugiej zaś strony zmusić je do dbania o prywatność użytkowników i funkcjonowanie zgodne z zasadami uczciwej konkurencji.

W trosce o cyberbezpieczeństwo

Kolejny projekt regulacji zaproponowany przez KE pojawił się w środę. Tym razem dotyczy on nowej strategii UE w zakresie cyberbezpieczeństwa i przepisów mających na celu zwiększenie odporności fizycznych i cyfrowych podmiotów krytycznych.

Jak zapewnia KE strategia ta, jako kluczowy element kształtowania cyfrowej przyszłości Europy wzmocni zbiorową odporność Europy na zagrożenia dla cyberbezpieczeństwa i pomoże zapewnić wszystkim obywatelom i firmom możliwość pełnego korzystania z wiarygodnych i sprawdzonych usług i narzędzi cyfrowych. Niezależnie od tego, czy Europejczycy korzystają z urządzeń podłączonych do internetu, sieci elektroenergetycznej, czy też z banków, samolotów, administracji publicznej i szpitali, powinni mieć zaufanie, że są chronieni przed cyberzagrożeniami.

Według zapowiedzi nowa strategia w zakresie cyberbezpieczeństwa umożliwia również UE zwiększenie przywództwa odnośnie międzynarodowych norm i standardów w cyberprzestrzeni oraz zacieśnienie współpracy z partnerami na całym świecie w celu promowania globalnej, otwartej, stabilnej i bezpiecznej cyberprzestrzeni, opartej na praworządności, prawach człowieka, podstawowych wolnościach i wartościach demokratycznych.    

Odporność i suwerenność technologiczna

W ramach nowego nurtu działań Komisja proponuje reformę przepisów dotyczących bezpieczeństwa sieci i systemów informatycznych przy pomocy dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (zmieniona dyrektywa w sprawie bezpieczeństwa sieci i informacji lub „dyrektywa NIS 2”) w celu zwiększenia poziomu cyberodporności krytycznych sektorów publicznych i prywatnych: szpitale, sieci energetyczne, koleje, ale także ośrodki przetwarzania danych, administracja publiczna, laboratoria badawcze, produkcja wyrobów medycznych i leków o kluczowym znaczeniu oraz pozostała infrastruktura krytyczna i usługi krytyczne muszą pozostać poza zasięgiem cyberataków w coraz szybciej zmieniającym się i złożonym środowisku zagrożeń.  

Komisja proponuje również powołanie w całej UE sieci centrów monitorowania bezpieczeństwa, wspieranych przez sztuczną inteligencję (AI), która to sieć będzie stanowić prawdziwą „tarczę przed zagrożeniami dla cyberbezpieczeństwa”, zdolną wykrywać odpowiednio wcześnie oznaki cyberataku i umożliwiać proaktywne działania przed wystąpieniem szkody.

Dodatkowe działania obejmą specjalne wsparcie dla małych i średnich przedsiębiorstw (MŚP) udzielane w ramach centrów innowacji cyfrowych, a także zwiększone wysiłki na rzecz podnoszenia kwalifikacji siły roboczej, przyciągania i zatrzymywania najlepszych talentów w dziedzinie cyberbezpieczeństwa oraz inwestowanie w badania naukowe i innowacje, które są otwarte, konkurencyjne i działają na zasadzie doskonałości.      

Budowanie zdolności operacyjnej

Komisja informuje, że przygotowuje, wspólnie z państwami członkowskimi w postępującym i równościowym procesie, nową wspólną jednostkę ds. cyberprzestrzeni – aby zacieśnić współpracę między organami UE i organami państw członkowskich odpowiedzialnymi za zapobieganie cyberatakom, powstrzymywanie ich i reagowanie na nie – obejmującą środowiska cywilne, dyplomatyczne, zajmujące się ściganiem przestępstw i cyberobroną.

- Zagrożenia dla cyberbezpieczeństwa ewoluują szybko, są coraz bardziej złożone i mogą istnieć w różnych warunkach – zaznacza w komunikacie Thierry Breton, komisarz do spraw rynku wewnętrznego. - Aby zapewnić ochronę naszych obywateli i infrastruktury, musimy zaplanować nasze działania. Odporna i niezależna europejska tarcza przed zagrożeniami dla cyberbezpieczeństwa pozwoli nam wykorzystać naszą wiedzę fachową do szybszego reagowania, ograniczenia potencjalnych szkód i zwiększenia naszej odporności. Inwestowanie w cyberbezpieczeństwo oznacza inwestowanie w zdrową przyszłość naszych środowisk internetowych i w naszą strategiczną autonomię.

Czytaj także: Członkowie Unii Europejskiej chcą skutecznej walki z dezinformacją na temat 5G. Polska wśród sygnotariuszy apelu

Rozwój globalnej i otwartej cyberprzestrzeni

UE zapowiada, że zintensyfikuje współpracę z partnerami w celu wzmocnienia międzynarodowego porządku opartego na zasadach, wspierania bezpieczeństwa międzynarodowego i stabilności w cyberprzestrzeni oraz ochrony praw człowieka i podstawowych wolności w internecie. Przyczyni się to do rozwoju międzynarodowych norm i standardów, które odzwierciedlają te podstawowe wartości UE, poprzez współpracę z partnerami międzynarodowymi w ramach Organizacji Narodów Zjednoczonych i innych odpowiednich forów.

UE jest zaangażowana we wspieranie nowej strategii w zakresie cyberbezpieczeństwa za pomocą wysokiego poziomu inwestycji w transformację cyfrową na najbliższe siedem lat, za pośrednictwem kolejnego długoterminowego budżetu UE, w szczególności programu „Cyfrowa Europa” i programu „Horyzont Europa”, a także planu odbudowy dla Europy.

Zachęca się zatem państwa członkowskie do pełnego wykorzystania unijnego Instrumentu na rzecz Odbudowy i Zwiększania Odporności w celu zwiększenia cyberbezpieczeństwa i dokonania odpowiednich inwestycji na szczeblu UE. Celem jest doprowadzenie do łącznych inwestycji UE, państw członkowskich i przemysłu o wartości do 4,5 mld euro, w szczególności w ramach Centrum Kompetencji w Dziedzinie Cyberbezpieczeństwa i Sieci Ośrodków Koordynacji, a także zapewnienie, by znaczna część środków trafiała do MŚP.

Cyberodporność sieci i systemów informatycznych

Według KE należy zaktualizować istniejące na szczeblu UE środki mające na celu ochronę kluczowych usług i infrastruktury zarówno przed ryzykiem w cyberprzestrzeni, jak i zagrożeniami fizycznymi.

Ryzyko w cyberprzestrzeni w dalszym ciągu ewoluuje wraz z rosnącą cyfryzacją i wzajemnymi powiązaniami. Zagrożenia fizyczne stały się również bardziej złożone od czasu przyjęcia w 2008 r. unijnych przepisów dotyczących infrastruktury krytycznej, które obecnie obejmują jedynie sektory energii i transportu. Zmiany mają na celu aktualizację przepisów zgodnie z zasadami strategii UE w zakresie unii bezpieczeństwa, przezwyciężenie fałszywej dychotomii między tym co w internecie i poza nim oraz zerwanie z podejściem hermetycznym.

Aby zareagować na rosnące zagrożenia wynikające z cyfryzacji i wzajemnych powiązań, dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (zmieniona dyrektywa w sprawie bezpieczeństwa sieci i informacji lub „dyrektywa NIS 2”) będzie dotyczyć średnich i dużych podmiotów z większej liczby sektorów, stosownie do ich krytyczności dla gospodarki i społeczeństwa.

Dyrektywa NIS 2 wzmacnia wymogi w zakresie bezpieczeństwa nakładane na przedsiębiorstwa, dotyczy bezpieczeństwa łańcuchów dostaw i relacji z dostawcami, usprawnia obowiązki sprawozdawcze, wprowadza bardziej rygorystyczne środki nadzoru dla organów krajowych, surowsze wymogi w zakresie egzekwowania przepisów i ma na celu harmonizację systemów sankcji we wszystkich państwach członkowskich. Wniosek dotyczący dyrektywy NIS 2 pomoże zintensyfikować wymianę informacji i współpracę w zakresie zarządzania kryzysami w cyberprzestrzeni na szczeblu krajowym i unijnym.

Proponowana dyrektywa w sprawie odporności podmiotów krytycznych rozszerza i pogłębia zakres dyrektywy w sprawie europejskiej infrastruktury krytycznej z 2008 r. Obecnie uwzględniono dziesięć sektorów: energii, transportu, bankowości, infrastruktury rynku finansowego, zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, administracji publicznej i przestrzeni kosmicznej. Na mocy proponowanej dyrektywy każde z państw członkowskich przyjmie krajową strategię na rzecz zapewnienia odporności podmiotów krytycznych i przeprowadzi regularnie oceny ryzyka.

Czytaj także: Parlament Europejski planuje prostsze naprawy elektroniki i uniwersalne ładowarki. Chce ratować środowisko

Zabezpieczenie sieci 5G

KE zaznacza, że w ramach nowej strategii w zakresie cyberbezpieczeństwa zachęca się państwa członkowskie, przy wsparciu Komisji i Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), do zakończenia wdrażania unijnego zestawu narzędzi w zakresie 5G zapewniającego kompleksowe i obiektywne podejście oparte na analizie ryzyka w odniesieniu do bezpieczeństwa sieci 5G i przyszłych generacji sieci.

Według sprawozdania na temat wpływu zalecenia Komisji w sprawie cyberbezpieczeństwa sieci 5G oraz postępów we wdrażaniu unijnego zestawu środków ograniczających ryzyko od czasu sprawozdania z postępu prac z lipca 2020 r. większość państw członkowskich jest już na dobrej drodze do wdrożenia zalecanych środków.

Komisja Europejska i wysoki przedstawiciel zobowiązują się do wdrożenia nowej strategii w zakresie cyberbezpieczeństwa w nadchodzących miesiącach. Komisja i wysoki przedstawiciel będą regularnie przedstawiać sprawozdania na temat poczynionych postępów oraz udzielać pełnych informacji Parlamentowi Europejskiemu, Radzie Unii Europejskiej i zainteresowanym stronom, a także angażować wspomniane instytucje i strony we wszystkie istotne działania.

Do Parlamentu Europejskiego i Rady należy obecnie przeanalizowanie i przyjęcie proponowanej dyrektywy NIS 2 oraz dyrektywy w sprawie odporności podmiotów krytycznych. Po uzgodnieniu treści proponowanych dyrektyw, a następnie ich przyjęciu, państwa członkowskie będą musiały transponować te dyrektywy w ciągu 18 miesięcy od ich wejścia w życie.

Komisja będzie dokonywać okresowych przeglądów dyrektywy NIS 2 oraz dyrektywy w sprawie odporności podmiotów krytycznych oraz składać sprawozdania z funkcjonowania tych aktów prawnych.