26 czerwca br. Komisja przyjeła porozumienie polityczne osiągnięte przez Parlament Europejski i Radę UE w sprawie proponowanego przez Komisję rozporządzenia ustanawiającego środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach, urzędach i agencjach Unii. Negocjacje dobiegły końca, natomiast tekst prawny musi teraz zostać formalnie zatwierdzony przez Parlament Europejski i Radę.
Komisja przedstawiła wniosek dotyczący rozporządzenia w sprawie cyberbezpieczeństwa w marcu 2022 r. Wspomniane rozporządzenie ma wprowadzić ramy nadzoru, zarządzania ryzykiem i kontroli w dziedzinie cyberbezpieczeństwa w odniesieniu do wszystkich podmiotów UE i utworzyć nową Międzyinstytucjonalną Radę ds. Cyberbezpieczeństwa w celu monitorowania jego wdrażania. Zostanie również rozszerzony mandat zespołu reagowania na incydenty komputerowe dla instytucji, organów, urzędów i agencji UE (CERT-UE) jako punktu analizy cyberzagrożeń, wymiany informacji i koordynacji reagowania na incydenty, centralnego organu doradczego i dostawcy usług. Nazwa CERT-UE zostanie zmieniona na „Centrum ds. cyberbezpieczeństwa instytucji, organów i agencji Unii”, aby odzwierciedlić jego nowy mandat. Jednocześnie skrócona nazwa CERT-UE zostanie zachowana do celów uznawania.
Kluczowymi elementami wniosku dla wszystkich instytucji, organów, urzędów i agencji UE są:
- posiadanie ram nadzoru, zarządzania ryzykiem i kontroli w dziedzinie cyberbezpieczeństwa;
- przeprowadzanie regularnych ocen dojrzałości;
- wdrożenie środków w zakresie cyberbezpieczeństwa odnoszących się do zidentyfikowanych zagrożeń;
- opracowanie planu poprawy ich cyberbezpieczeństwa;
- wymiana informacji dotyczących incydentów z CERT-UE bez zbędnej zwłoki.
Dalsze działania
Po sfinalizowaniu tekstu, zanim nowe rozporządzenie będzie mogło wejść w życie, musi zostać formalnie przyjęte przez Parlament Europejski i Radę. Podmioty unijne będą wówczas zobowiązane do przestrzegania obowiązków i dotrzymywania terminów określonych w tekście. Podniesie to poziom cyberbezpieczeństwa w administracji UE, która będzie lepiej przygotowana na przyszłe wyzwania.
W następstwie strategii UE w zakresie unii bezpieczeństwa oraz strategii UE w zakresie cyberbezpieczeństwa rozporządzenie w sprawie cyberbezpieczeństwa zapewni spójność z obecną polityką UE w dziedzinie cyberbezpieczeństwa przy pełnej zgodności z obowiązującym ustawodawstwem unijnym:
- Dyrektywa w sprawie środków na rzecz wspólnego wysokiego poziomu cyberbezpieczeństwa w całej Unii („dyrektywa NIS 2”), do której przedmiotowe przepisy są dostosowane pod względem zasad i poziomu ambicji, przy jednoczesnym poszanowaniu specyfiki podmiotów unijnych;
- Akt o cyberbezpieczeństwie;
- Zalecenie Komisji w sprawie skoordynowanego reagowania na szczeblu unijnym na incydenty i kryzysy cybernetyczne na dużą skalę.
Źródło: Komisja Europejska
