Nowe przepisy zwiększające cyberbezpieczeństwo instytucji UE

10 stycznia 2024

7 stycznia 2024r., weszło w życie nowe rozporządzenie w sprawie cyberbezpieczeństwa ustanawiające środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach i jednostkach organizacyjnych Unii. W rozporządzeniu ustanawia się środki służące ustanowieniu wewnętrznych ram zarządzania ryzykiem w cyberprzestrzeni, zarządzania nim i jego kontroli dla każdego podmiotu Unii oraz ustanawia się nową międzyinstytucjonalną Radę ds. Cyberbezpieczeństwa (IICB) w celu monitorowania i wspierania ich wdrażania przez podmioty Unii.

Zapewnia to rozszerzony mandat zespołu reagowania na incydenty komputerowe w instytucjach, organach, urzędach i agencjach UE (CERT-UE) jako centrum wywiadu o zagrożeniach, wymiany informacji i koordynacji reagowania na incydenty, centralnego organu doradczego i dostawcy usług. Zgodnie ze swoim mandatem CERT-UE zostaje przemianowany na Służbę ds. Cyberbezpieczeństwa dla instytucji, organów, urzędów i agencji Unii, ale zachowuje nazwę skróconą „CERT-UE”.

Dalsze kroki

Zgodnie z harmonogramem określonym w rozporządzeniu, podmioty Unii ustanowią wewnętrzne procesy zarządzania cyberbezpieczeństwem i będą stopniowo wprowadzać konkretne środki zarządzania ryzykiem w cyberprzestrzeni przewidziane w rozporządzeniu. IICB zostanie utworzona i rozpocznie działalność tak szybko, jak to możliwe, w celu zapewnienia strategicznego kierowania CERT-UE w ramach jego rozszerzonego mandatu, zapewnienia wskazówek i wsparcia podmiotom Unii oraz monitorowania wdrażania rozporządzenia.

Kontekst

W rezolucji z marca 2021 r. Rada Unii Europejskiej podkreśliła znaczenie solidnych i spójnych ram bezpieczeństwa dla ochrony całego personelu, danych, sieci komunikacyjnych, systemów informacyjnych i procesów decyzyjnych UE. W tym kontekście Komisja ogłosiła wniosek dotyczący rozporządzenia w sprawie cyberbezpieczeństwa w marcu 2022 r., a w czerwcu 2023 r. Parlament Europejski i Rada osiągnęły porozumienie polityczne.

Wspomniane rozporządzenie jest zgodne z celami polityki Komisji określonymi w strategii UE w zakresie unii bezpieczeństwa i strategii bezpieczeństwa cybernetycznego UE oraz zapewnia spójność z innymi inicjatywami ustawodawczymi w tej dziedzinie:

  • Dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („NIS 2”), do której przepisy te są dostosowane pod względem zasad i poziomu ambicji, przy jednoczesnym poszanowaniu specyfiki podmiotów unijnych;
  • Akt o cyberbezpieczeństwie;
  • Zaleceniem Komisji w sprawie skoordynowanego reagowania na szczeblu unijnym na incydenty i kryzysy cybernetyczne na dużą skalę.

Rozporządzenie w sprawie cyberbezpieczeństwa przedstawiono wraz z wnioskiem dotyczącym rozporządzenia w sprawie bezpieczeństwa informacji, w którym określono minimalne zasady i normy bezpieczeństwa informacji dla wszystkich instytucji, organów, urzędów i agencji UE. Niniejszy wniosek ma na celu bezpieczną wymianę informacji między instytucjami, organami i jednostkami organizacyjnymi UE oraz z państwami członkowskimi w oparciu o znormalizowane praktyki i środki ochrony przepływu informacji. Negocjacje między współprawodawcami w sprawie tego wniosku jeszcze się nie rozpoczęły.

Dokumenty:

Źródło: Komisja Europejska

Zostaw odpowiedź

Your email address will not be published. Required fields are marked *