Jednym z najważniejszych wyzwań dla współczesnego świata jest cybersecurity, czyli bezpieczeństwo „w sieci”. Nie mówimy o sytuacjach hipotetycznych, potencjalnych, ale o realnych atakach, zarówno o podłożu ekonomicznym: zorganizowana przestępczość, która włamuje się na konta internetowe i kradnie, a z drugiej strony konkurencja, która dokonuje hakerskich ataków na inne firmy w branży. Skupmy się jednak na atakach hakerów motywowanych politycznie. Przykłady w tym drugim obszarze są nam, Polakom, dobrze znane ze względu na ataki hakerów – prawie na pewno rosyjskich – na polskie, nawet zabezpieczone sieci rządowe, jak też podobne, tyle że przeprowadzane z większym skutkiem i na większą skalę ataki z tego samego źródła na Łotwie i Estonii.

Nowa unijna dyrektywa: „cybersecurity”

Warto prześledzić, co czyni Unia Europejska, aby zapewnić bezpieczeństwo w sieci. Ostatnio Rada Europejska, przy czynnym poparciu Polski, zgodziła się na nową unijną dyrektywę o cyberbezpieczeństwie – NIS2. Warto jednak bardziej precyzyjnie określić, o czym mówimy. Otóż Międzynarodowy Związek Telekomunikacyjny (ITU) definiuje cyberbezpieczeństwo jako zbiór narzędzi, polityk, koncepcji bezpieczeństwa, zabezpieczeń, wytycznych, metod zarządzania ryzykiem, działań, szkoleń, najlepszych praktyk, gwarancji i technologii, które można wykorzystać do ochrony cyberśrodowiska i organizacji i majątku użytkownika.

Pod pojęciem „cyberbezpieczeństwa” rozumiemy dążenie do zapewnienia osiągnięcia i utrzymania właściwości bezpieczeństwa organizacji i aktywów użytkownika przed odpowiednimi zagrożeniami bezpieczeństwa w środowisku cybernetycznym. Proszę wybaczyć, może zbyt techniczny język, ale precyzja w tym obszarze jest fundamentem.

Cyberataki i cyberprzestępczość są coraz częstsze i coraz bardziej wyrafinowane w całej Europie. Unia Europejska szacuje, że tendencja ta będzie w przyszłości dalej rosnąć, biorąc pod uwagę, że do roku 2022 aż 2 miliardy 300 milionów urządzeń na całym świecie będzie połączonych z internetem. Wzmocnienie cyberbezpieczeństwa jest obecnie głównym celem Unii Europejskiej. UE definiuje cyberbezpieczeństwo jako obszar obejmujący wszystkie aspekty zapobiegania, prognozowania, tolerancji, wykrycia, łagodzenia, usuwania, analiz i badania incydentów cybernetycznych.

NIS 2 kontra dyktatury

Według Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) z siedzibą w Atenach, biorąc pod uwagę różne rodzaje komponentów cyberprzestrzeni, cyberbezpieczeństwo powinno obejmować następujące atrybuty: dostępność, niezawodność, bezpieczeństwo, poufność, integralność, konserwowalność (w przypadku namacalnych systemów, informacji i sieci), solidność, przeżywalność, odporność (w celu wsparcia dynamiki cyberprzestrzeni), rozliczalność, autentyczność i niezaprzeczalność (w celu wsparcia bezpieczeństwa informacji).

Dosłownie w ostatnim czasie, 3 grudnia 2021 roku, Rada Europejska uzgodniła swoje stanowisko w sprawie podjęcia działań na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej UE tak, aby jeszcze bardziej poprawić odporność i zdolność reagowania na ataki hakerskie, zarówno na sektor publiczny, jak i prywatny, a także instytucje unijne. Po przyjęciu nowa dyrektywa, zwana „NIS2”, zastąpi obecną dyrektywę w sprawie bezpieczeństwa sieci i systemów informatycznych (NIS). Znacznie wcześniej, bo 16 grudnia 2020 roku, Komisja Europejska przyjęła wniosek dotyczący NIS2 w ramach unijnej strategii cyberbezpieczeństwa. Celem tej strategii jest wzmocnienie odporności Europy na zagrożenia cybernetyczne oraz zapewnienie, aby wszyscy obywatele i przedsiębiorstwa mogły w pełni korzystać z godnych zaufania i niezawodnych usług oraz narzędzi cyfrowych.

Obecnie nowa strategia zawiera konkretne propozycje dotyczące wdrażania instrumentów regulacyjnych, inwestycyjnych i politycznych. W konkluzjach z dnia 22 marca 2021 roku w sprawie „Unijnej strategii cyberbezpieczeństwa na dekadę cyfrową” Rada Europejska – a więc organ skupiający szefów rządów UE 27 – przyjęła do wiadomości nowy wniosek, który opiera się na dyrektywie w sprawie bezpieczeństwa sieci i informacji oraz ponownie wyraziła poparcie dla wzmocnienia i harmonizacji krajowych ram cyberbezpieczeństwa oraz trwałej współpracy między państwami członkowskimi. NIS2 dodatkowo wzmacnia architekturę cyberbezpieczeństwa UE. Zgodnie z poprawionym projektem, NIS2 dąży do bardziej sprawnego zarządzania ryzykiem i walki z atakami hackerskimi, za którymi stoją często duże państwa – dyktatury oraz o współpracy w tym obszarze w ramach Unii.

EU-CyCLONe nie dla wszystkich

Rada Europejska stwierdziła w specjalnym komunikacie prasowym, że NIS2 wyznaczy punkt odniesienia dla środków zarządzania ryzykiem cyberbezpieczeństwa i obowiązków sprawozdawczych we wszystkich sektorach objętych dyrektywą, takich jak energia, transport, zdrowie i infrastruktura cyfrowa. Zmieniona dyrektywa ma na celu usunięcie rozbieżności w wymogach cyberbezpieczeństwa oraz we wdrażaniu środków cyberbezpieczeństwa w różnych państwach członkowskich. Aby to osiągnąć, określa ona minimalne zasady ram regulacyjnych, a także przedstawia mechanizmy skutecznej współpracy między odpowiednimi organami w każdym państwie członkowskim. Dyrektywa aktualizuje także wykaz sektorów i działań podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz przewiduje środki zaradcze i sankcje w celu zapewnienia i egzekwowania.

Bardzo ważną decyzją NIS2 jest formalne ustanowienie Europejskiej Sieci Organizacji Łącznikowej ds. Cyberkryzysu (EU-CyCLONe). Zgodnie z nową dyrektywą EU-CyCLONe powinien działać jako sieć pośrednicząca między poziomem technicznym a politycznym podczas ataków na bezpieczeństwo w sieci i kryzysów cybernetycznych na dużą skalę. Powinien również zacieśnić współpracę na poziomie operacyjnym, opierając się na ustaleniach sieci CSIRT, i wykorzystywać własne zdolności do tworzenia analiz skutków ataków i kryzysów na dużą skalę oraz wspierać podejmowanie decyzji na szczeblu politycznym. Obecny organ odpowiedzialny za zarządzanie atakami hakerskimi i kryzysami na dużą skalę związanymi z bezpieczeństwem powinien zostać wyznaczony przez instytucje, organy i agencje Unii Europejskiej do członkostwa w EU-CyCLONe.

Dyrektywa NIS2 stwierdza również, że odpowiedzialność za zapewnienie bezpieczeństwa sieci i systemu informatycznego w dużej mierze spoczywa na kluczowych podmiotach. Należy promować i rozwijać kulturę zarządzania ryzykiem, obejmującą ocenę ryzyka i wdrażanie środków bezpieczeństwa adekwatnych do występującego ryzyka. Oświadczenie Rady Europejskiej wyjaśnia również, że nowa dyrektywa NIS2 nie będzie miała zastosowania do podmiotów prowadzących działalność w obszarach takich jak obronność lub bezpieczeństwo narodowe, bezpieczeństwo publiczne, egzekwowanie prawa i sądownictwo. Z jej zakresu wyłączone są również parlamenty narodowe i banki centralne. Po przedstawieniu tekstu tej dyrektywy prezydencja Rady Europejskiej – właśnie kończy się półrocze prezydencji Słowenii, a 1 stycznia 2022 roku rozpocznie się sześciomiesięczne kierowanie Unią przez Francję – rozpocznie negocjacje z Parlamentem Europejskim. Zarówno Rada, jak również Parlament Europejski będą musiały uzgodnić w procedurze „trilogu” ostateczny tekst, aby został on oficjalnie przyjęty na poziomie Unii Europejskiej i stał się częścią jej prawa.

*Jest to polska wersja artykułu Ryszarda Czarneckiego, który ukazał się w ostatnich dniach w tygodniku „New Delhi Times”