Zaznacz stronę
2021 04 19_Olgierd Świerzewski

UE w tym roku planuje wypracować międzynarodowe standardy i regulacje dotyczące walki z cyberzagrożeniami

Bezpieczeństwo w sieci stało się jednym z priorytetów Unii Europejskiej na 2021 r. Na realizację tej strategii, UE chce przeznaczyć bezprecedensowe środki – 4,5 mld euro. Czy uda się wypracować międzynarodowe standardy i regulacje walki z cyberbezpieczeństwem? Czy 2021 będzie rokiem cyberbezpieczeństwa Unii Europejskiej? Na te pytania w artykule dla miesięcznika iTWiz odpowiada Olgierd Świerzewski, Partner, szef Sektora Usług Finansowych w Kochański & Partners.

Czy 2021 będzie rokiem cyberbezpieczeństwa w Unii Europejskiej?

Wiele na to wskazuje. Bezpieczeństwo w sieci stało się bowiem jednym z priorytetów Unii Europejskiej, która na realizację inwestycji i badań w tym obszarze zamierza przeznaczyć bezprecedensowe środki, tj. 4,5 mld euro. W grudniu 2020 roku Komisja Europejska przedstawiła nową strategię cyberbezpieczeństwa, stanowiącą odpowiedź na rosnące zagrozenia związane z aktywnością firm i osób fizycznych online. Ma ona na celu budowę otwartej, bezpiecznej cyberprzestrzeni dla wszystkich obywateli oraz wypracowanie międzynarodowych standardów i regulacji.

Przyjrzyjmy się poszczególnym elementom strategii przedstawionej przez Komisję Europejską. Lektura materiałów opublikowanych przez Komisję wskazuje, że proponowane rozwiązania skupiają się na 3 głównych obszarach: wzmacnianiu odporności, suwerenności technologicznej i przywództwa UE; budowaniu zdolności operacyjnych wobec zagrożenia cyber-atakami oraz rozwoju globalnej cyberprzestrzeni poprzez zwiększenie współpracy międzynarodowej. Przeanalizujmy kierunki zmian i priorytety zawarte w strategii.

Odporność, technologiczna suwerenność i przywództwo

W ramach podniesienia poziomu cyberbez-pieczeństwa, Komisja Europejska wystąpiła z wnioskiem o zmianę dyrektywy w sprawie bezpieczeństwa sieci i informacji NIS. Była ona pierwszym, unijnym prawem dotyczącym bezpieczeństwa cybernetycznego i zdaniem Komisji Europejskiej wymaga gruntownego przeglądu oraz zmian, szczególnie w zakresie objęcia dyrektywą większej liczby sektorów, uznając je za istotne dla bezpieczeństwa Unii Europejskiej.

Dyrektywa NIS2 stanowi wynik konsultacji, które unaoczniły braki w obecnie Funkcjonujących przepisach. Zidentyfikowane problemy dotyczą przede wszystkim niewystarczającego poziomu cyberbezpie-czeństwa w unijnych przedsiębiorstwach, niespójnej odporności cybernetycznej państw członkowskich i poszczególnych sektorów gospodarki, a także konieczności wypracowania wspólnego dla państw Unii Europejskiej zrozumienia zagrożeń i wyzwań cybernetycznych. Zmieniona dyrektywa miałaby znacząco rozszerzyć zakres objętych dodatkową ochroną podmiotów, m.in. o sektor energetyczny, transportowy, bankowy czy zdrowotny, oraz nałożyć na przedsiębiorstwa surowsze wymogi bezpieczeństwa. Dyrektywa NIS2 odpowiadałaby też na problem bezpieczeństwa łańcuchów dostaw, umożliwiała usprawnienie obowiązków sprawozdawczych oraz wprowadzała bardziej rygorystyczne środki nadzoru organów krajowych. Dyrektywa NIS2 stanowi wynik konsultacji, które unaoczniły braki w obecnie funkcjonujących przepisach. Zidentyfikowane problemy dotyczą przede wszystkim niewystarczającego poziomu cyberbezpieczeństwa w unijnych przedsiębiorstwach, niespójnej odporności cybernetycznej państw członkowskich i poszczególnych sektorów gospodarki, a także konieczności wypracowania wspólnego dla państw Unii Europejskiej zrozumienia zagrożeń i wyzwań cybernetycznych. Zmieniona dyrektywa miałaby znacząco rozszerzyć zakres objętych dodatkową ochroną podmiotów, m.in. o sektor energetyczny, transportowy, bankowy czy zdrowotny, oraz nałożyć na przedsiębiorstwa surowsze wymogi bezpieczeństwa. wśród których możemy wymienić surowsze obowiązki w zakresie bezpieczeństwa i powiadamiania organów nadzoru. Harmonizuje również systemy sankcji, nakładając na państwa członkowskie obowiązek nakładania kar administracyjnych na przedsiębiorstwa niestosujące się do obowiązku wdrażania systemu cyberbezpieczeństwa. Przedsiębiorca – w którego przypadku stwierdzono niewystarczające środki techniczne i organizacyjne – może zostać obciążony grzywnami w wysokości do 10 mln euro lub 2% całkowitego rocznego obrotu. Jednym z ciekawszych pomysłów Komisji Europejskiej jest stworzenie na terenie całej Unii Europejskiej sieci centrów operacji bezpieczeństwa wykorzystujących sztuczną inteligencję do analizy podejrzanych zachowań w sieci. W zamyśle unijnego legislatora centra te mają pełnić Funkcję „tarczy cyberbezpieczeństwa”. Ich zadaniem będzie m.in. wykrywanie na wczesnym etapie sygnałów o cyberatakach i podejmowanie działań zmierzających do powstrzymania lub łagodzenia ich skutków.

Ponadto, Komisja Europejska zapowiedziała zwiększenie wsparcia technologicznego dla małych i średnich przedsiębiorców, w ramach programu Digital Innovation Hubs. Planowana jest również intensyfikacja działań edukacyjnych zmierzających do podniesienia świadomości cyberzagrożeń, realizacja inwestycji badawczych i rozwojowych oraz rekrutacja najlepszych światowych ekspertów ds. cyberbezpieczeństwa. Należy spodziewać się dużych środków finansowych przeznaczonych z Funduszy unijnych na podniesienie poziomu świadomości o zagrożeniach cybernetycznych i metodach zwiększenia bezpieczeństwa.

Budowanie zdolności operacyjnych do zapobiegania, odstraszania i reagowania na incydenty w cyberprzestrzeni

W ramach inicjatyw podjętych w obszarze budowania zdolności operacyjnych, Komisja przedstawiła plan stworzenia tzw.Join Cyber Unit-jednostki, która umożliwi wzmocnienie współpracy instytucji unijnych i przedstawicieli państw członkowskich w zakresie ochrony przed cyberatakami, ich wykrywania i reagowania na nie.

Do zwiększenia poziomu cyberbezpieczeństwa ma się również przyczynić wzmocnienie narzędzi cyberdyplomacji – Cyber Diplomacy Toolbox – które pozwalałyby na przeciwdziałanie cyberata-kom, w szczególności tym stanowiącym zagrożenie dla inFrastruktury krytycznej, łańcuchów dostaw i działania organów unijnych. Planowane jest także zacieśnienie współpracy z Europejską Agencją Obrony oraz dalsze zachęcanie państw członkowskich do korzystania ze wsparcia Europejskiego Funduszu Obrony EDF.

Rozwój globalnej i otwartej cyberprzestrzeni poprzez zacieśnienie współpracy międzynarodowej

Istotnym aspektem strategii cyberbezpie-czeństwa jest zwiększenie zakresu współpracy międzynarodowej oraz promowanie uniwersalnych wartości i zasad europejskich. Planowane jest podjęcie zintensyfikowanych działań w obszarze promowania bezpieczeństwa i stabilności w przestrzeni cybernetycznej oraz ochrony praw człowieka i podstawowych wolności w sieci. W realizacji tych celów UE będzie współpracować m.in. z ONZ. Komisja Europejska zapowiedziała też powołanie Zewnętrznej Agencji Budowania Cyber Zdolności, która ma wesprzeć państwa trzecie w dążeniu do budowy zdolności cyberbezpieczeństwa. Ma również zostać stworzona międzynarodowa Unijna Sieć Dyplomacji CyFrowej odpowiedzialna za promocję europejskiej wizji cyberprzestrzeni.

Bezprecedensowe inwestycje

Unia Europejska zamierza przeznaczyć na realizację strategii cyberbezpieczeństwa bezprecedensowe środki, zwłaszcza w ramach programów CyFrowa Europa i Horyzont Europa oraz Funduszu Odbudowy. Jednocześnie, rekomenduje państwom członkowskim wykorzystanie pozyskanych środków na inwestycje w obszarze cyberbezpieczeństwa. Docelowo, Unia dąży do łącznych inwestycji w tym zakresie na poziomie 4,5 mld euro. Realizowane projekty mają pozwolić na zwiększenie autonomii Unii Europejskiej oraz umocnienie pozycji lidera w dziedzinie cyberbezpieczeństwa, m.in. w obszarze chmury obliczeniowej czy technologii 6G.

Nowa dyrektywa CER

Zaprezentowany przez Komisję pakiet rozwiązań obejmuje wprowadzenie nowej dyrektywy dotyczącej odporności Dyrektywa NIS2 harmonizuje systemy sankcji, nakładając na państwa członkowskie obowiązek nakładania kar administracyjnych na przedsiębiorstwa niestosujące się do obowiązku wdrażania systemu cyberbezpieczeństwa. Przedsiębiorca – w którego przypadku stwierdzono niewystarczające środki techniczne i organizacyjne – może zostać obciążony grzywnami w wysokości do 10 mln euro lub 2% całkowitego rocznego obrotu. Duże nakłady wiążące się z podniesieniem poziomu cyberbezpieczeństwa w polskich przedsiębiorstwach staną się koniecznością wymaganą przez przepisy prawa. podmiotów krytycznych. Przepisami obejmie ona 10 sektorów uznawanych za należące do tzw. inFrastruktury krytycznej, m.in.: energetykę, transport, bankowość, inFrastrukturę rynków finansowych, ochronę zdrowia, wodę pitną, ścieki, administrację publiczną, przestrzeń kosmiczną oraz inFrastrukturę cyFrową. Proponowana dyrektywa CER stworzy przed państwami członkowskimi obowiązek przyjęcia krajowej strategii w zakresie bezpieczeństwa krytycznych podmiotów oraz przeprowadzania regularnych ocen ryzyka.

Zgodnie z proponowaną dyrektywą, każde z państw członkowskich przyjęłoby strategię krajową, w celu zapewnienia odporności krytycznych podmiotów, i przeprowadzałoby regularne oceny ryzyka. Umożliwi to Komisji udzielanie wsparcia państwom członkowskim i podmiotom o kluczowym znaczeniu, np. poprzez opracowanie na szczeblu UE przeglądu zagrożeń transgranicznych i międzysek-torowych, najlepszych praktyk, metod, transgranicznych działań szkoleniowych i ćwiczeń sprawdzających odporność podmiotów krytycznych. Podczas gdy NIS2 koncentruje się na bezpieczeństwie cybernetycznym, dyrektywa CER reguluje odporność inFrastruktury krytycznej, odzwierciedlając rosnącą współzależność różnych sektorów w zakresie ich wzajemnego oddziaływania i, co za tym idzie, cyberbezpieczeństwa. Wydaje się jasne, że jednym z najważniejszych celów wydania dyrektywy CER jako istotnego elementu strategii Unii Europejskiej w zakresie bezpieczeństwa cybernetycznego jest zapewnienie eFek-tu synergii między zakresem NIS2 i CER, co powinno pomóc właściwym organom w wymianie inFormacji dotyczących cyberodporności.

Szerokość zmian przewidywanych przez Komisję Europejską wskazuje na wagę cyberbezpieczeństwa w budowaniu ekosystemów na terytorium Unii Europejskiej oraz harmonizacji wspólnego rynku. Co nowa strategia oznacza dla państw członkowskich? Przede wszystkim konieczność nowelizacji krajowych przepisów dotyczących cyberbezpieczeństwa oraz weryFikację założeń krajowej strategii cyberbezpieczeństwa. Poza tym, po przyjęciu proponowanych dyrektyw NIS2 i CER, państwa Unii będą miały 18 miesięcy na ich transpozycję do prawa krajowego. Należy spodziewać się ciekawej debaty legislacyjnej też w Polsce, a duże nakłady wiążące się z podniesieniem poziomu cyberbezpieczeństwa w polskich przedsiębiorstwach staną się koniecznością wymaganą przez przepisy prawa.

 


Zapraszamy do kontaktu:

Olgierd Świerzewski

Olgierd Świerzewski

Radca prawny, Partner, Executive Director, Szef Sektora Usług Finansowych

+48 788 262 267

o.swierzewski@kochanski.pl