20 grudnia 2023r., przedstawiciele państw członkowskich (Coreper) wypracowali wspólne stanowisko w sprawie tzw. aktu o cybersolidarności. Celem jest zwiększenie solidarności i zdolności UE w zakresie wykrywania zagrożeń cyberbezpieczeństwa i incydentów w cyberbezpieczeństwie oraz przygotowywania się i reagowania na nie. Projekt rozporządzenia ustanawia unijne zdolności, dzięki którym Europa stanie się bardziej odporna na cyberzagrożenia i będzie na nie skuteczniej reagować, a jednocześnie wzmacnia mechanizmy współpracy.
Porozumienie to jest kolejnym krokiem w kierunku poprawy cyberodporności w Europie. Ma zwiększyć zdolności UE i państw członkowskich do skuteczniejszego i lepszego przygotowywania się na wielkoskalowe cyberzagrożenia i cyberataki, zapobiegania im, reagowania na nie oraz usuwania ich skutków.Główne cele wniosku Komisji
Wniosek przedstawiony przez Komisję ma przede wszystkim:
- pomagać w wykrywaniu poważnych lub wielkoskalowych cyberzagrożeń i cyberincydentów oraz zwiększać wiedzę na ich temat,
- zwiększać gotowość i chronić podmioty krytyczne i usługi kluczowe, takie jak szpitale czy usługi użyteczności publicznej,
- wzmacniać solidarność na szczeblu UE, wspólne zarządzanie kryzysowe i zdolności reagowania w państwach członkowskich,
- przyczyniać się do zapewnienia obywatelom i firmom bezpiecznego i chronionego środowiska cyfrowego.
W celu szybkiego i skutecznego wykrywania poważnego cyberzagrożenia, w projekcie rozporządzenia ustanowiono „europejską tarczę cyberbezpieczeństwa” – ogólnoeuropejską infrastrukturę składającą się z krajowych i transgranicznych centrów monitorowania bezpieczeństwa (SOC) w całej UE. Te centra to podmioty odpowiedzialne za wymianę informacji, których zadaniem jest wykrywanie cyberzagrożeń i reagowanie na takie zagrożenia. Będą one wykorzystywać najnowocześniejszą technologię, taką jak sztuczna inteligencja i zaawansowana analityka danych, aby wykrywać cyberzagrożenia i cyberincydenty w UE oraz szybko o nich ostrzegać. Dzięki temu organy i właściwe podmioty będą w stanie skuteczniej i efektywniej reagować na poważne incydenty.
W projekcie rozporządzenia przewidziano również utworzenie mechanizmu cyberkryzysowego, który zwiększy gotowość i poprawi zdolności w zakresie reagowania na incydenty w UE. Mechanizm ten ma wspierać:
- działania w zakresie gotowości, w tym testowanie podmiotów działających w sektorach wysoce krytycznych (opieka zdrowotna, transport, energia itp.) pod kątem potencjalnej podatności na zagrożenia prowadzone w oparciu o wspólne scenariusze ryzyka i wspólne metodyki,
- nową unijną rezerwę cyberbezpieczeństwa składającą się z usług reagowania na incydenty oferowanych przez zaufanych dostawców z sektora prywatnego, z którymi wcześniej zawarto umowy, dzięki czemu są oni gotowi interweniować – na wniosek państwa członkowskiego lub unijnych instytucji, organów i agencji – w przypadku wystąpienia poważnego lub wielkoskalowego cyberincydentu,
- wzajemną pomoc finansową, w ramach której państwo członkowskie może zaoferować pomoc innemu państwu członkowskiemu.
Aby zwiększyć odporność UE, w projekcie rozporządzenia przewidziano także ustanowienie mechanizmu przeglądu incydentów w cyberbezpieczeństwie. Umożliwi on dokonywanie przeglądu i oceny konkretnych poważnych lub wielkoskalowych incydentów, wyciąganie wniosków i, w razie potrzeby, wydawanie zaleceń w celu poprawy pozycji UE w kwestiach cyberprzestrzeni. Na wniosek Komisji lub organów krajowych Agencja UE ds. Cyberbezpieczeństwa (ENISA) będzie dokonywać przeglądu wybranych cyberincydentów i przedstawiać sprawozdanie z wnioskami i zaleceniami.
Zmiany wprowadzone przez Radę
Stanowisko Rady podtrzymuje ogólne założenia wniosku Komisji, ale wprowadza do niego następujące zmiany:
- doprecyzowuje terminologię i dostosowuje tekst do sytuacji poszczególnych państw członkowskich, zwłaszcza w odniesieniu do centrów SOC i tarczy cyberbezpieczeństwa,
- jeśli chodzi o przedmiot i zakres stosowania wniosku – poprawia sformułowania dotyczące środków reagowania i usuwania skutków, a także przepisy odnoszące się do bezpieczeństwa narodowego,
- zmieniono definicje i dostosowano je do innych przepisów, głównie do niedawno zmienionej dyrektywy o bezpieczeństwie sieci i informacji („NIS 2”),
- w całym tekście podkreślono dobrowolny charakter zaangażowania państw członkowskich w mechanizmy ustanowione we wniosku Komisji; doprecyzowano też kwestie współdziałania istniejących podmiotów z podmiotami określonymi w projekcie rozporządzenia
- w całym tekście wzmocniono i doprecyzowano rolę Agencji UE ds. Cyberbezpieczeństwa (ENISA),
- wprowadzono ulepszenia dotyczące udzielania zamówień, finansowania, wymiany informacji i mechanizmu przeglądu incydentów.
Dalsze kroki
Porozumienie w sprawie wspólnego stanowiska Rady (mandat negocjacyjny) pozwoli kolejnej prezydencji podjąć negocjacje (rozmowy trójstronne) z Parlamentem Europejskim na temat ostatecznej wersji przepisów.
Źródło: Rada Europejska/ Rada Unii Europejskiej