Polityka i prawo
Nowa strategia cyberbezpieczeństwa Unii Europejskiej. Krok w stronę technologicznej suwerenności?
Sieć centrów operacji bezpieczeństwa, stworzenie nowej jednostki Joint Cyber Unit oraz zwiększenie aktywności na arenie międzynarodowej - to główne postanowienia ogłoszonej przez Komisję Europejską nowej strategii cyberbezpieczeństwa.
Komisja Europejska ogłosiła nową strategię cyberbezpieczeństwa zatytułowaną "The EU's Cybersecurity Strategy for the Digital Decade". Strategia koncentruje się na trzech głównych priorytetach: odporności, suwerenności technologicznej i przywództwie (rResilience, technological sovereignty and leadership), zbudowaniu zdolności ochrony, odstraszania i odpowiedzi (building operational capacity to prevent, deter and respond) oraz promowaniu otwartej cyberprzestrzeni poprzez intensyfikację współpracy (advancing a global and open cyberspace through increased cooperation).
Komisja w ramach realizacji pierwszego priorytetu zamierza uruchomić sieć centrów operacji bezpieczeństwa (SOCów) w Unii Europejskiej, które będą wspierane przez sztuczną inteligencję. Ma to być prawdziwa "tarcza cyberbezpieczeństwa" dla UE, odpowiedzialna za wykrywanie sygnałów o cyberatakach dostatecznie wcześniej, aby umożliwić podjęcie działań zanim wywołają one negatywne konsekwencje.
Dodatkowe środki uwzględnią dedykowane wsparcie dla małych i średnich przedsiębiorstw w ramach inicjatywy Digital Hubs. Ważnym elementem jest również aspekt zasobów ludzkich. Autorzy wskazują na konieczność przyciągnięcia oraz utrzymania najbardziej utalentowanych ekspertów ds. cyberbezpieczeństwa, zwiększenia świadomości pracowników o cyberzagrożeniach oraz inwestycji w badania i rozwój.
W ramach realizacji drugiego priorytetu, KE wraz z państwami członkowskimi stworzy nową jednostkę Joint Cyber Unit, która ma wzmocnić współpracę pomiędzy nimi a instytucjami unijnymi w przeciwdziałaniu, odstraszaniu i odpowiedzi na cyberataki. W jej składać mają wejść dyplomaci, przedstawiciele organów ścigania, cywile oraz przedstawiciele ze środowiska cyberobrony.
Planuje się również usprawnienie unijnego Cyber Diplomacy Toolbox tak, aby było ono skutecznym narzędziem odpowiedzi na najgroźniejsze cyberataki, które stanowią zagrożenie dla infrastruktury krytycznej, łańcucha dostaw oraz unijnych instytucji. Unia Europejska planuje również wzmocnić współpracę w zakresie cyberobrony oraz rozwinąć najnowocześniejsze zdolności w tym obszarze poprzez współpracę z Europejską Agencją Obrony oraz zachęcanie państw do wykorzystania mechanizmów Stałej Współpracy Strukturalnej (PESCO) i Europejskiego Funduszu Obronnego.
Trzeci punkt uwzględnia pracę z międzynarodowymi partnerami, aby wzmocnić światowy porządek, promować bezpieczeństwo międzynarodowe i stabilność w cyberprzestrzeni oraz chronić prawa człowieka i podstawowe wolności w świecie online. Unia Europejska będzie również promowała międzynarodowe normy zachowania, które odzwierciedlają wartości wspólnoty we współpracy m.in. z ONZ. Zapowiedziano również stworzenie Zewnętrznej Agencji Budowania Cyber Zdolności (External Cyber Capacity Building Agenda), aby wspomóc kraje trzecie w budowie własnych potencjałów cyberbezpieczeństwa. W ramach działań na arenie międzynarodowej ma zostać również zintensyfikowany dialog z innymi państwami oraz regionalnymi i międzynarodowymi organizacjami. Unia Europejska zamierza w ten sposób stworzyć Sieć Dyplomacji Cyfrowej (Cyber Diplomacy Network) do promowania swojej wizji cyberprzestrzeni.
Strategia UE w przeciwieństwie do polskiej nie będzie realizowana bezkosztowo. Zostanie wsparta bezprecedensowymi w historii UE inwestycjami w cyfrową transformację poprzez programy Horyzont Europa, Cyfrowa Europa i Fundusz Odbudowy. Państwom członkowskim rekomenduje się, żeby uzyskane fundusze zainwestowali w cyberbezpieczeństwo, a w szczególności w badania i rozwój. Celem jest osiągnięcie połączonych inwestycji na poziomie 4,5 miliarda euro. Unia Europejska stawia również na autonomię strategiczną podkreślając swoją chęć osiągnięcia pozycji lidera w rozwoju takich technologii jak 6G czy procesorów następnej generacji.
Ponadto poza strategią Komisja ogłosiła nowy pakiet cyberbezpieczeństwa w skład którego wszedł projekt dyrektywy NIS2 oraz projekt nowej dyrektywy dotyczącej odporności podmiotów krytycznych. Dyrektywa zostanie rozszerzona o nowe podsektory, które ze względu na ciągle rosnącą liczbę cyberzagrożeń należy objąć dodatkową ochroną. NIS2 wzmocni również wymagania bezpieczeństwa, które muszą spełnić przedsiębiorstwa oraz ochronę łańcucha dostaw. Wprowadzi również nowe mechanizmy wymiany informacji i współpracy w zakresie zarządzania kryzysami w cyberprzestrzeni zarówno na poziomie narodowy jak i Unii Europejskiej.
Nowa Dyrektywa dotycząca odporności podmiotów krytycznych (Critical Entities Resilience) nałoży na państwa wymóg stworzenia narodowej strategii zabezpieczenia krytycznych obiektów oraz przeprowadzania regularnych ocen ryzyka. Komisja ma zapewnić wsparcie dla państw członkowskich poprzez rozwijanie najlepszych praktyk, tworzenie metodologii oraz organizację międzypaństwowych ćwiczeń.
W związku z nowymi regulacjami konieczna będzie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. W związku z tym, sektor publiczny i prywatny musi dostosować się do nowych regulacji.