Wstęp
Spis treści
Nieustanny wzrost popularności cybernarzędzi w niemalże każdym sektorze, w tym sektorze publicznym, oznacza proporcjonalny wzrost ekspozycji szeroko pojętych użytkowników sieci na zagrożenia. 18 kwietnia 2023 r. Komisja Europejska przedstawiła propozycję aktu Unii Europejskiej o solidarności cybernetycznej[1] (dalej jako: Akt o cybersolidarności). Jako jeden z elementów Strategii Cyberbezpieczeństwa Unii Europejskiej[2], Akt o cybersolidarności ma być kolejnym krokiem do zwiększenia odporności poszczególnych państw Unii Europejskiej na cyberataki. Niniejszy artykuł przedstawia najważniejsze rozwiązania, jakie ma wprowadzić do systemu prawnego Akt o cybersolidarności.
Cel regulacji
Zanim przejdziemy do szczegółowego omówienia proponowanych zmian, które wynikają z Aktu o cybersolidarności, należy zwrócić uwagę na motywy, jakie legły u podstaw przedstawionego projektem rozporządzenia. W szerokim ujęciu Akt o cybersolidarności to kolejna regulacja należąca do kategorii przepisów dotyczących działania Unii Europejskiej
w razie wystąpienia tzw. sytuacji kryzysowych. W tym względzie, Akt o cybersolidarności obejmuje swoim zakresem postępowanie ze szczególnym typem sytuacji kryzysowych, jakim są cyberataki. W węższym ujęciu Akt o cybersolidarności wpisuje się w realizację konkretnych postulatów określonych w Strategii Cyberbezpieczeństwa Unii Europejskiej, a więc jako istotna składowa Cyber-Tarczy UE[3], w szczególności w kontekście przepisów związanych z Centrami Operacyjnymi Bezpieczeństwa (dalej jako: SOC). W ten sposób ustawodawca unijny zamierza zacieśnić współpracę między poszczególnymi krajami członkowskimi UE.
Powyższe, ogólne założenia zostały uszczegółowione przez autorów projektu Aktu o cybersolidarności, którzy w uzasadnieniu projektu wskazali na trzy zasadnicze cele, które projekt ma realizować[4]. Chodzi o:
- zwiększenie poziomu wykrywalności zagrożeń lub incydentów bezpieczeństwa sieci, co ma jednocześnie wpłynąć na samoświadomość użytkowników sieci,
- wzmocnienie współpracy w zakresie reakcji na incydenty bezpieczeństwa sieci,
- wzmocnienie zbiorowej odporności Unii Europejskiej na zagrożenia
w cyberprzestrzeni.
Infrastruktura SOC
SOC odgrywają szczególną rolę w projekcie Aktu o cybersolidarności. Ich transgraniczna postać stanowi rzeczywiste odzwierciedlenie oczekiwanej, ponadnarodowej współpracy państw członkowskich Unii Europejskiej w postępowaniu z zagrożeniami lub incydentami bezpieczeństwa sieci. W takim ujęciu, transgraniczne SOC, obok krajowych SOC są budulcem Cyber-Tarczy UE.
Przepisy Aktu o cybersolidarności uznają transgraniczne SOC za ponadnarodową platformę współpracy. Skoordynowany charakter działań ma pozwolić na skuteczne wykrywanie, analizę oraz zapobieganie zagrożeniom lub incydentom bezpieczeństwa sieci. To z kolei wiąże się z odpowiednim obiegiem informacji pozyskiwanych zarówno od podmiotów publicznych, jak i od podmiotów prywatnych.
Utworzenie krajowego SOC, będącego organem publicznym jest obowiązkiem państwa członkowskiego. Podstawowym zadaniem krajowego SOC ma być pozyskiwanie informacji na temat zagrożeń lub incydentów bezpieczeństwa sieci, a następnie ich przekazywanie do transgranicznego SOC. Innymi słowy, krajowy SOC to swego rodzaju punkt kontaktowy, gromadzący informacje od innych organów publicznych lub podmiotów prywatnych działających w danym kraju. W związku z tym, krajowy SOC należy wyposażyć we właściwe zasoby pozwalające na wykonywanie swoich zadań. W zakresie finansowania działalności krajowych SOC, Akt o cybersolidarności przewiduje możliwość przyznawania krajowym SOC grantów przez Akademię Umiejętności cyberbezpieczeństwa. Uzyskanie grantu wiąże się jednak z koniecznością udziału danego krajowego SOC w transgranicznym SOC.
Powstanie transgranicznego SOC można podzielić na dwie fazy. W pierwszej kolejności co najmniej trzy krajowe SOC, zainteresowane współpracą, tworzą Konsorcjum Zarządzające, które jest reprezentowane przez krajowe SOC. Podobnie jak w przypadku krajowych SOC, Konsorcjum Zarządzające jest uprawnione do pozyskania grantu Akademii Umiejętności cyberbezpieczeństwa na finansowanie zasobów dla transgranicznego SOC. Przyznanie grantu oznacza konieczność zawarcia przez Konsorcjum Zarządzające pisemnej umowy konsorcjum regulującej zasady wykorzystania zasobów finansowanych przez grant.
Najważniejszym zadaniem transgranicznego SOC jest umożliwienie wzajemnego przekazywania informacji przez członków Konsorcjum Zarządzającego. Informacje mogą dotyczyć m.in. zagrożeń dla bezpieczeństwa sieci, podatności, procedur czy alertów na temat zagrożeń. Jednak nadrzędną wartością jest możliwość zapobiegania i wykrywania cyberataków, jak również skuteczna reakcja na ich wystąpienie, w tym także minimalizacja skutków powstałych incydentów. Jednocześnie wymiana informacji ma prowadzić do ogólnego wzrostu poziomu cyberbezpieczeństwa, zarówno w zakresie prewencji, jak i wsparcia w podejmowaniu odpowiednich działań w reakcji na zaistniałe incydenty. W razie pozyskania informacji o trwającym lub potencjalnym incydencie w cyberbezpieczeństwie na dużą skalę[5], transgraniczne SOC powinno poinformować Komisję Europejską, sieć CSIRT[6] oraz grupę EU=CyCLONe[7].
Zagadnienia związane z wymianą informacji, m.in. poprzez określenie zobowiązania do przekazywania informacji, powinny znaleźć się w umowie konsorcjum, o której mowa powyżej. Ponadto, krajowe SOC powinny zawrzeć między sobą umowy określające zasady wymiany informacji.
Transgraniczne SOC może być reprezentowane przez krajowy SOC działający jako koordynujący SOC lub przez Konsorcjum Zarządzające, jeśli to ostatnie zyskało osobowość prawną. Podmiot reprezentujący odpowiada za przestrzeganie umowy, o której mowa powyżej oraz Aktu o cybersolidarności.
Mechanizm reagowania cyberkryzysowego
Istotnym aspektem Aktu o cybersolidarności są określone w nim mechanizmy reagowania cyberkryzysowego („Mechanizm”). Celem Mechanizmu jest poprawa odporności Unii Europejskiej zarówno na krótkoterminowe skutki poważnych incydentów w cyberbezpieczeństwie, jak i incydentów w cyberbezpieczeństwie na dużą skalę.
Zgodnie z Aktem o cybersolidarności, Mechanizm wspiera trzy główne rodzaje działań:
- Działania w zakresie gotowości, w tym skoordynowane testy gotowości podmiotów działających w sektorach o wysokim znaczeniu krytycznym w całej Unii Europejskiej.
- Działania w zakresie reagowania, wspierające reagowanie na istotne incydenty cyberbezpieczeństwa na dużą skalę i natychmiastowe usuwanie ich skutków. Mają być one zapewniane przez zaufanych dostawców uczestniczących w unijnej rezerwie cyberbezpieczeństwa.
- Działania w zakresie wzajemnej pomocy polegające na udzielaniu pomocy przez organy krajowe jednego państwa członkowskiego innemu państwu członkowskiemu Unii Europejskiej.
Kolejnym istotnym aspektem Mechanizmu jest ustanowienie unijnej rezerwy cyberbezpieczeństwa („Rezerwa”). Rezerwa została ustanowiona, aby pomóc w zakresie reagowania lub zapewniania wsparcia w reagowaniu na znaczące lub zakrojone na szeroką skalę incydenty cyberbezpieczeństwa oraz w natychmiastowym usuwaniu skutków takich incydentów. Rezerwa składa się z usług reagowania na incydenty od zaufanych dostawców i obejmuje wstępnie zadeklarowane usługi, które można wdrożyć we wszystkich państwach członkowskich. Z usług Rezerwy mogą korzystać organy zarządzania kryzysowego w cyberprzestrzeni i CSIRT państw członkowskich UE, a także instytucje, organy i agencje UE („Użytkownicy”). Użytkownicy ci będą mogli korzystać z usług Rezerwy w celu reagowania lub wspierania w reagowaniu na incydenty cyberbezpieczeństwa.
Zgodnie z Aktem o cybersolidarności, Komisja Europejska będzie ponosić ogólną odpowiedzialność za wdrożenie Rezerwy. Komisja Europejska ma określić priorytety i rozwój Rezerwy zgodnie z wymogami Użytkowników i nadzorować jej wdrażanie, zapewniając komplementarność, spójność, synergię i powiązania z innymi działaniami wspierającymi na mocy Aktu o cybersolidarności, a także innymi działaniami i programami Unii Europejskiej dotyczącymi cyberbezpieczeństwa. Co istotne, Komisja Europejska będzie mogła powierzyć Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji („ENISA”) obsługę Rezerwy i zarządzania nią w całości lub w części. Zgodnie z Aktem o cybersolidarności, ENISA w celu wsparcia Komisji Europejskiej w tworzeniu Rezerwy, przygotuje zestawienie usług reagowania na incydenty, które będzie można wdrożyć w państwach członkowskich Unii Europejskiej. Zestawienie usług reagowania na incydenty przygotowane przez ENISĘ powinno być poprzedzone konsultacjami z Komisją Europejską oraz państwami członkowskimi.
W ramach mechanizmu reagowania cyberkryzysowego, organy państw członkowskich ds. zarządzania kryzysowego w cyberbezpieczeństwie i CSIRT oraz instytucje, organy i jednostki organizacyjne Unii Europejskiej, będą mogły wnioskować o usługi z Rezerwy. Jednakże, aby otrzymać wsparcie, Użytkownicy powinni podjąć środki w celu złagodzenia skutków incydentu, którego dotyczy wniosek o wsparcie, w tym zapewnić bezpośrednią pomoc techniczną i inne zasoby w celu wsparcia reakcji na incydent i natychmiastowej odbudowy cyberbezpieczeństwa w celu wsparcia reagowania na istotne incydenty cyberbezpieczeństwa i natychmiastowej pomocy przy odbudowie po takich incydentach.
Podsumowując, zmiany, które może przynieść Mechanizm, obejmują:
- Zwiększoną odporność na cyberzagrożenia: Ustanawiając skoordynowane działania
w zakresie gotowości i reagowania, Unia Europejska może zwiększyć swoją ogólną odporność na poważne zagrożenia cybernetyczne. - Współpracę: Działania w zakresie wzajemnej pomocy mogą sprzyjać zwiększonej współpracy i solidarności między państwami członkowskimi Unii Europejskiej
w przypadku incydentów cyberbezpieczeństwa. - Skuteczne reagowanie na incydenty cyberbezpieczeństwa: Utworzenie Rezerwy może zapewnić szybką i skuteczną reakcję na poważne incydenty cyberbezpieczeństwa, minimalizując ich wpływ na infrastrukturę krytyczną i usługi.
- Zharmonizowane podejście: Ujednolicenie podejścia do istotnych zagrożeń cybernetycznych w całej Unii Europejskiej może zapewnić większą spójność w sposobie zarządzania tymi zagrożeniami, co może prowadzić do lepszych wyników zapobieganiu incydentom cyberbezpieczeństwa.
Mechanizmy przeglądu incydentów cybernetycznych
Akt o cybersolidaroności reguluje również kwestie dotyczące mechanizmów przeglądu incydentów cybernetycznych. Zgodnie z analizowanym aktem, ENISA na wniosek Komisji Europejskiej, EU-CyCLONe lub CSIRT, powinna dokonać przeglądu i oceny zagrożeń, podatności oraz działań łagodzących w zakresie konkretnego incydentu cyberbezpieczeństwa. Rozwiązanie to wydaje się słuszne ze względu na to, że potencjalnie może pozwolić na przyjęcie zunifikowanego podejścia do poszczególnych typów incydentów cyberbezpieczeństwa w Unii Europejskiej, a co za tym idzie wzmocnić ochronę państw członkowskich przed cyberatakami. Co istotne, ENISA podczas przygotowywania sprawozdania z przeglądu poszczególnego incydentu cyberbezpieczeństwa, powinna współpracować ze wszystkimi odpowiednimi zainteresowanymi stronami, w tym również
z przedstawicielami państw członkowskich, czy z Komisją Europejską. Gdy sytuacja tego wymaga, ENISA może również podjąć współpracę z podmiotami, na których incydenty cyberbezpieczeństwa mogą wywrzeć wymierny wpływ. Przedmiotowe sprawozdanie przygotowane przez ENISA powinno obejmować przegląd i analizę poszczególnego incydentu cyberbezpieczeństwa, w tym głównych przyczyn wystąpienia incydentu, informacji
o wykrytych podatnościach i zdobytych doświadczeniach.
Akademia Umiejętności cyberbezpieczeństwa
W ramach Europejskiego Roku Umiejętności 2023 Komisja Europejska przyjęła w dniu 18 kwietnia 2023 r. komunikat w sprawie akademii umiejętności w zakresie cyberbezpieczeństwa („Akademia Umiejętności cyberbezpieczeństwa”).
Akademia Umiejętności cyberbezpieczeństwa to inicjatywa polityczna Unii Europejskiej mająca na celu połączenie istniejących inicjatyw w zakresie umiejętności cybernetycznych
i poprawę ich koordynacji w celu wypełnienia luki talentów w dziedzinie cyberbezpieczeństwa oraz zwiększenia konkurencyjności, wzrostu gospodarczego i odporności cybernetycznej w Unii Europejskiej.
Akademia Umiejętności cyberbezpieczeństwa opiera się na czterech filarach:
- Generowanie wiedzy poprzez edukację i szkolenia: Ustanowienie wspólnego unijnego podejścia do szkoleń w zakresie cyberbezpieczeństwa. Akademia Umiejętności cyberbezpieczeństwa będzie promować rozwój wiedzy poprzez edukacyjne inicjatywy i szkolenia, tworząc uniwersalne standardy dla ról i umiejętności związanych z cyberbezpieczeństwem. Zajmie się ona również udoskonaleniem unijnego programu edukacyjnego i szkoleniowego w celu tworzenia nowych ścieżek zawodowych, a także zapewniając transparentność i rozpoznawalność szkoleń i certyfikatów związanych
z cyberbezpieczeństwem, aby zwiększyć dostępność wykwalifikowanej siły roboczej. - Zaangażowanie zainteresowanych stron: Zobowiązanie do wypełnienia luki
w umiejętnościach w zakresie cyberbezpieczeństwa wśród obywateli Unii Europejskiej. - Finansowanie i projekty: Budowanie synergii w celu maksymalizacji wpływu wydatków na rozwój umiejętności w zakresie cyberbezpieczeństwa.
- Mierzenie postępów: W ramach tego filaru Akademia Umiejętności cyberbezpieczeństwa zajmie się analizą wskaźników pomiaru stanu i postępu umiejętności cybernetycznych oraz analizą dostępnych danych na temat stanu
i postępu w zakresie umiejętności cybernetycznych.
System certyfikacji dla zarządzanych usług w obszarze cyberbezpieczeństwa
Certyfikacja dla zarządzanych usług w obszarze cyberbezpieczeństwa w Akcie
o cybersolidarności dotyczy jednego ze szczególnych kryteriów wyboru usług, które mogą być wykorzystane w ramach Rezerwy cyberbezpieczeństwa Unii Europejskiej. Motyw 38 Aktu o cybersolidarności uprawnia Komisję Europejską do zwrócenia się do ENISA o przygotowanie schematu certyfikacji kandydatów na zasadach określonych w przepisach Aktu
o cyberbezpieczeństwie[8]. Redakcja motywu 38 wskazuje, że jest to uprawnienie Komisji Europejskiej a nie obowiązek, co oznacza, że nie można przewidzieć, czy taki schemat certyfikacji powstanie. Niemniej jednak, biorąc pod uwagę jego cel, jakim ma być wsparcie dla stworzenia Rezerwy, a zwłaszcza wybór usług na jej potrzeby, schemat certyfikacji jest pożądanym narzędziem.
Skutkiem opracowania schematu certyfikacji dla zarządzanych usług w obszarze cyberbezpieczeństwa będzie poszerzenie katalogu kryteriów, które musi spełnić usługa oceniana na potrzeby udziału w Rezerwie cyberbezpieczeństwa Unii Europejskiej. W takiej sytuacji ustawodawca europejski wymaga, aby podmiot świadczący ocenianą usługę uzyskał certyfikat wydany zgodnie z przyjętym schematem certyfikacji.
Z uwagi na brak w Akcie o cybersolidarności przepisów szczególnych dotyczących certyfikacji zarządzanych usług w obszarze cyberbezpieczeństwa, znajdą zastosowanie przepisy ogólne, w tym zwłaszcza przepisy Aktu o cyberbezpieczeńtwie.
Podsumowanie
W obecnym kształcie, Akt o cybersolidarności przyczynia się do wzrostu odporności państw Unii Europejskiej na zagrożenia w cyberprzestrzeni poprzez zacieśnienie współpracy między poszczególnymi krajowymi organami do spraw cyberbezpieczeństwa. W końcu nic tak nie ułatwia skuteczności cyberataku, jak brak informacji na jego temat. Niemniej jednak, to dopiero praktyka pokaże na ile ogólne przepisy Aktu o cybersolidarności spełnią pokładaną w nich nadzieję.
Maciej Niezgoda
adwokat, Senior Associate w FinLegalTech Żelek i Wspólnicy sp. k.
Wojciech Panek
prawnik, Associate w FinLegalTech Żelek i Wspólnicy sp. k.
[1] https://digital-strategy.ec.europa.eu/en/library/proposed-regulation-cyber-solidarity-act
[2] https://digital-strategy.ec.europa.eu/en/library/eus-cybersecurity-strategy-digital-decade-0
[3] Por. pkt 1.2 Joint Communication to the European Parliament and the Council. The EU's Cybersecurity Strategy for the Digital Decade, JOIN(2020) 18 final, Bruksela 16 grudnia 2020 r., str. 6-7
[4] Projekt Aktu cybersolidarności, str. 2-3
[5] W rozumieniu Dyrektywy Parlamentu Europejskiego i Rady UE 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę̨ (UE) 2018/1972 oraz uchylająca dyrektywę̨ (UE) 2016/1148 (dyrektywa NIS 2), Dz.U.UE.L.333.80
[6] Ibidem
[7] Ibidem
[8] Rozporządzenie Parlamentu Europejskiego i Rady UE 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie), Dz.U.UE.L.151/15