Komisja Europejska proponuje pakiet cyberbezpieczeństwa

Zapraszamy do konsultacji - Komisja Europejska proponuje pakiet cyberbezpieczeństwa

Przy pracach nad Pakietem Komisja kieruje się Europejską Agendą Bezpieczeństwa oraz Śródokresowym Przeglądem Strategii Jednolitego Rynku Cyfrowego, gdzie określono najważniejsze działania mające na celu zwiększenie cyberbezpieczeństwa. Zaproponowane rozwiązania uzupełniają i rozwijają cele oraz działania określone w Strategii Cyberbezpieczeństwa UE z roku 2013.

W związku z tym Ministerstwo Cyfryzacji zaprasza do wzięcia udziału w konsultacjach przedstawionego przez Komisję Europejską Pakietu.

Pakiet składa się z propozycji nowych regulacji, komunikatów oraz raportów i obejmuje następujące dokumenty odnoszące się do zadań realizowanych przez Ministerstwo Cyfryzacji:

1. Wspólny Komunikat Komisji i Wysokiego Przedstawiciela Unii do spraw zagranicznych i polityki bezpieczeństwa – Odporność, Odstraszanie, Obrona: Budując silne cyberbezpieczeństwo dla Unii Europejskiej.
2. Propozycja regulacji o nazwie Akt Cyberbezpieczeństwa dot. mandatu Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) - Jednocześnie Komisja przedstawia Raportdot. ewaluacji mandatu ENISA.
3. Europejskiej Agencji Cyberbezpieczeństwa jak i certyfikacji na poziomie europejskim. Akt Cyberbezpieczeństwa zawiera projekt rozporządzenia, aneks, streszczenie oraz ocenę skutków regulacji składającą się z sześciu załączników.
4. Zalecenia Komisji w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę.
5. Komunikat Komisji dot. implementacji Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dyrektywa NIS) wraz z aneksem.

Ministerstwo Cyfryzacji szczególnie zwraca uwagę na regulacje pod nazwą Akt Cyberbezpieczeństwa i załączone do niej dokumenty oraz Zalecenia Komisji w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę.

Ministerstwo Cyfryzacji zachęca do wzięcia udziału w konsultacjach, które potrwają do 4 października br. Efektem prac nad wymienionymi dokumentami będzie stanowisko Rządu, które zostanie przedstawione Komisji Europejskiej.

Swoje stanowisko można przesłać do Ministerstwa Cyfryzacji na adres: agnieszka.wierzbicka@mc.gov.pl

Komisja zwiększa zdolności reagowania UE na ataki cybernetyczne - omówienie proponowanych zmian przez Komisję Europejską

Przyjęcie projektu przez KE

13 września w dorocznym orędziu o stanie Unii przewodniczący Komisji Jean-Claude Juncker powiedział: "W ostatnich trzech latach poczyniliśmy postępy w zapewnianiu Europejczykom bezpieczeństwa w sieci. Jednak Europa nadal nie jest właściwie przygotowana na cyberataki. Dlatego Komisja proponuje dzisiaj nowe narzędzia, m.in. Europejską Agencję ds. Bezpieczeństwa Cybernetycznego, byśmy mogli skuteczniej się bronić przed takimi atakami".

Europejczycy mają dużo zaufania do technologii cyfrowych. Otwierają one przed obywatelami nowe możliwości łączenia się, ułatwiają rozpowszechnianie informacji i stanowią podstawę gospodarki europejskiej. Niosą też jednak nowe zagrożenia, gdyż podmioty niepaństwowe i państwowe coraz częściej starają się wykraść dane, dokonać oszustw, a nawet zdestabilizować rządy. W ubiegłym roku w Europie odnotowano dziennie ponad 4 tys. ataków z użyciem oprogramowania typu ransomware, a 80 proc. przedsiębiorstw unijnych zarejestrowało co najmniej jeden incydent związany z bezpieczeństwem cybernetycznym. W ciągu ostatnich czterech lat skutki gospodarcze cyberprzestępczości wzrosły pięciokrotnie.

Aby wyposażyć Europę w narzędzia pozwalające stawić czoła atakom cybernetycznym, Komisja Europejska i Wysoki Przedstawiciel proponują szeroko zakrojony zestaw środków, mających zapewnić solidne podstawy bezpieczeństwa cybernetycznego w UE. Obejmują one wniosek w sprawie agencji bezpieczeństwa cybernetycznego UE, która będzie wspierać państwa członkowskie w odpieraniu ataków cybernetycznych, a także nowego europejskiego systemu certyfikacji, który będzie gwarantować bezpieczne korzystanie z produktów i usług w środowisku cyfrowym.

Federica Mogherini, wysoka przedstawiciel/wiceprzewodnicząca powiedziała: "UE będzie kontynuować międzynarodową politykę na rzecz otwartej, wolnej i bezpiecznej cyberprzestrzeni, a także wspierać wysiłki zmierzające do opracowania norm odpowiedzialnego zachowania się państw, stosowania prawa międzynarodowego oraz środków budowy zaufania w zakresie bezpieczeństwa cybernetycznego".

Andrus Ansip, wiceprzewodniczący Komisji do spraw jednolitego rynku cyfrowego, dodał: "Żadne państwo nie może stawić czoła wyzwaniom w zakresie bezpieczeństwa cybernetycznego w pojedynkę. Nasze inicjatywy wzmacniają współpracę, tak aby kraje UE mogły razem sprostać tym wyzwaniom. Proponujemy też nowe środki w celu pobudzenia inwestycji w innowacje i promowania higieny cybernetycznej".

Julian King, komisarz do spraw unii bezpieczeństwa, stwierdził: "Musimy współdziałać na rzecz wzmacniania naszej odporności, stymulowania innowacji technologicznych, zwiększenia efektu odstraszającego, identyfikowalności i rozliczalności, a także wykorzystania współpracy międzynarodowej, aby promować nasze wspólne bezpieczeństwo cybernetyczne".

Mariya Gabriel, komisarz do spraw gospodarki cyfrowej i społeczeństwa cyfrowego, powiedziała: "Musimy wzmocnić zaufanie naszych obywateli i przedsiębiorstw do środowiska cyfrowego, szczególnie teraz, gdy coraz powszechniejsze stają się ataki cybernetyczne zakrojone na szeroką skalę. Pragnę, aby wysokie standardy bezpieczeństwa cybernetycznego przyniosły naszym przedsiębiorstwom nową przewagę konkurencyjną".

Wobec niedawnych ataków z użyciem oprogramowania typu ransomware, drastycznego wzrostu cyberprzestępczości, coraz powszechniejszego wykorzystywania narzędzi cybernetycznych przez podmioty państwowe do realizacji celów geopolitycznych i zróżnicowanego charakteru incydentów cybernetycznych UE musi zwiększyć swoją odporność na ataki cybernetyczne, stworzyć skuteczne narzędzia odstraszające i instrumenty prawa karnego pozwalające lepiej chronić obywateli, przedsiębiorstwa i instytucje publiczne w Europie. Temu właśnie służy pakiet dotyczący bezpieczeństwa cybernetycznego.

Budowanie odporności UE: Silna agencja UE ds. bezpieczeństwa cybernetycznego

Agencja UE ds. bezpieczeństwa cybernetycznego: Zadaniem powołanej w oparciu o istniejącą już Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA) agencji będzie ciągłe wspieranie państw członkowskich w skutecznym zapobieganiu cyberatakom i reagowaniu na nie. Przyczyni się ona do poprawy gotowości UE do reagowania na ataki przez organizowanie corocznych ogólnoeuropejskich ćwiczeń w tej dziedzinie oraz zapewnienie lepszej wymiany danych wywiadowczych o zagrożeniach oraz wiedzy na ten temat dzięki stworzeniu ośrodków wymiany informacji i analiz. Pomoże we wdrożeniu dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych, która nakłada na władze krajowe obowiązki sprawozdawcze w przypadku poważnych incydentów.

Agencja bezpieczeństwa cybernetycznego powinna również pomóc ustanowić i wdrożyć ogólnounijne ramy certyfikacji, których wprowadzenie Komisja proponuje, aby zapewnić cyberbezpieczeństwo produktów i usług. Tak jak dzięki unijnym etykietom na żywności konsumenci mogą być spokojni o zawartość talerza, nowe europejskie certyfikaty cyberbezpieczeństwa zapewnią niezawodność miliardów urządzeń (tzw. internetu rzeczy), służących funkcjonowaniu istniejącej infrastruktury krytycznej, takiej jak sieci transportowe i energetyczne, jak również nowych urządzeń przeznaczonych dla konsumentów, takich jak samochody podłączone do sieci. Certyfikaty bezpieczeństwa cybernetycznego będą uznawane we wszystkich państwach członkowskich, a co za tym idzie – zmniejszą obciążenia administracyjne i koszty dla przedsiębiorstw (np. koszt certyfikacji inteligentnych liczników w Wielkiej Brytanii i we Francji wynosi ok. 150 tys. EUR).

Zwiększenie potencjału w zakresie bezpieczeństwa cybernetycznego UE

W strategicznym interesie UE leży zapewnienie, by narzędzia technologiczne bezpieczeństwa cybernetycznego były opracowywane w sposób umożliwiający rozkwit gospodarki cyfrowej, przy jednoczesnej ochronie naszego bezpieczeństwa, społeczeństwa i demokracji. Obejmuje to ochronę krytycznego sprzętu komputerowego i oprogramowania. W celu wzmocnienia zdolności w zakresie bezpieczeństwa cybernetycznego UE, Komisja i Wysoki Przedstawiciel proponują:

• utworzenie Europejskiego Centrum Badań Naukowych i Kompetencji w dziedzinie Bezpieczeństwa Cybernetycznego (projekt pilotażowy zostanie zrealizowany w 2018 r.). Współpracując z państwami członkowskimi pomoże ono w opracowywaniu i wdrażaniu narzędzi i technologii koniecznych, by sprostać stale zmieniającym się zagrożeniom i zagwarantuje, że nasza obrona będzie tak nowoczesna, jak broń, którą posługują się cyberprzestępcy. Centrum będzie uzupełniać działania na rzecz budowy potencjału w tej dziedzinie na poziomie unijnym i krajowym.
• Opracowanie planu szybkiego reagowania państw członkowskich, umożliwiającego natychmiastową, skuteczną i skoordynowaną reakcję w przypadkach wystąpienia ataków cybernetycznych na dużą skalę. Proponowaną procedurę określono w zaleceniu przyjętym w zeszłym tygodniu. Ponadto w zaleceniu wzywa się państwa członkowskie i instytucje UE do ustanowienia ram reagowania w sytuacji kryzysu cybernetycznego, tak aby można było ten plan wcielić w życie. Plan ten będzie poddawany regularnym testom w ramach ćwiczeń w zakresie zarządzania w sytuacji kryzysu cybernetycznego lub innej sytuacji kryzysowej.
• Większa solidarność: W przyszłości można rozważyć możliwość stworzenia nowego funduszu pomocy w cybernetycznych sytuacjach kryzysowych dla tych państw członkowskich, które odpowiedzialnie wdrożą wszystkie środki cyberbezpieczeństwa wymagane na podstawie prawa UE. Fundusz mógłby służyć zapewnianiu wsparcia państwom członkowskim w sytuacjach nadzwyczajnych – podobnie jak Unijny Mechanizm Ochrony Ludności jest wykorzystywany do pomocy w przypadku pożarów lub klęsk żywiołowych.
• Wzmocnienie zdolności w zakresie obrony cybernetycznej: Państwa członkowskie zachęca się do włączenia cyberobrony w ramy stałej współpracy strukturalnej (PESCO) i Europejskiego Funduszu Obrony, aby wspierać projekty w zakresie cyberobrony. Można by też poszerzyć o cyberobronę zakres działania Europejskiego Centrum Badań Naukowych i Kompetencji w dziedzinie Bezpieczeństwa Cybernetycznego. Aby rozwiązać problem niedoboru wykwalifikowanej kadry w zakresie cyberobrony, w 2018 r. UE stworzy platformę szkoleń i edukacji w dziedzinie cyberobrony. UE i NATO będą razem wspierać współpracę na rzecz badań naukowych i innowacji w dziedzinie obrony cybernetycznej. Zacieśniona zostanie współpraca z NATO, w tym poprzez udział w równoległych i skoordynowanych ćwiczeniach.
• Pogłębienie współpracy międzynarodowej: UE wzmocni swą zdolność reagowania na cyberataki, wprowadzając ramy wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania cybernetyczne wspierające strategiczne ramy zapobiegania konfliktom i stabilizacji w cyberprzestrzeni. Zostanie to połączone z wysiłkami na rzecz budowania nowych zdolności, służących wspieraniu państw trzecich w walce z zagrożeniami cybernetycznymi.

Stworzenie skutecznych instrumentów prawa karnego

Zasadnicze znaczenie dla stworzenia skutecznego efektu zniechęcającego do popełniania tego rodzaju przestępstw ma zwiększenie skuteczności reagowania organów ścigania, ukierunkowane na możliwości śledzenia, wykrywania i ścigania cyberprzestępców. Komisja proponuje zwiększyć efekt odstraszający poprzez nowe środki zwalczania fałszerstw i oszustw związanych z bezgotówkowymi środkami płatniczymi.

Wniosek w sprawie dyrektywy posłuży wzmocnieniu zdolności organów ścigania do zwalczania tej formy przestępczości poprzez rozszerzenie zakresu przestępstw związanych z systemami informatycznymi i objęcie nim wszystkich transakcji płatniczych, także transakcji za pośrednictwem wirtualnych walut. Przepisy te wprowadzą również wspólne zasady dotyczące poziomu kar i uściślązakres jurysdykcji państw członkowskich w odniesieniu do takich przestępstw.

W celu zwiększenia skuteczności prowadzenia dochodzeń i ścigania przestępczości wykorzystującej cyberprzestrzeń Komisja na początku 2018 r. przedstawi także wnioski mające na celu ułatwienie transgranicznego dostępu do elektronicznego materiału dowodowego. Dodatkowo do października Komisja przedstawi swoje refleksje na temat roli szyfrowania w dochodzeniach karnych.

Kontekst prawny proponowanych rozwiązań

Najnowsze dane wskazują, że zagrożenia cyfrowe rosną w szybkim tempie i że obywatele postrzegają cyberprzestępczość jako istotne zagrożenie: według badań od 2015 r. liczba ataków z użyciem oprogramowania typu ransomware wzrosła o 300 proc., od 2013 do 2017 r. skutki gospodarcze cyberprzestępczości wzrosły pięciokrotnie, a do roku 2019 mogłyby wzrosnąć jeszcze czterokrotnie. 87 % Europejczyków uznaje cyberprzestępczość za poważne wyzwanie dla bezpieczeństwa wewnętrznego UE.

Przy pracach w tej dziedzinie Komisja kieruje się Europejską agendą bezpieczeństwa oraz śródokresowym przeglądem strategii jednolitego rynku cyfrowego, gdzie określono najważniejsze działania mające na celu zwiększenie bezpieczeństwa cybernetycznego. Zaproponowane dziś środki uzupełniają istniejące przepisy i wypełniają luki powstałe w wyniku zmian zagrożeń od czasu przyjęciastrategii bezpieczeństwa cybernetycznego UE z 2013 r., realizując najważniejszy priorytet, a mianowicie wsparcie państw członkowskich w zapewnianiu bezpieczeństwa wewnętrznego na podstawie deklaracji i planu działania z Bratysławy.

Więcej informacji:

• Pytania i odpowiedzi – Orędzie o stanie Unii w 2017 r. – cyberbezpieczeństwo: Komisja zwiększa zdolności reagowania UE na ataki cybernetyczne
• Zestawienie informacji na temat wniosków dotyczących bezpieczeństwa cybernetycznego
• Zestawienie informacji na temat Europejskiej Agencji ds. Bezpieczeństwa Cybernetycznego
• Zestawienie informacji na temat zwalczania fałszowania i oszustw związanych z bezgotówkowymi środkami płatności
• Dokumenty przyjęte w dniu 13 września

A.J.
Zespół e-prawnik.pl