Nowe przepisy zwiększające cyberbezpieczeństwo instytucji UE wchodzą w życie
Nowe rozporządzenie w sprawie cyberbezpieczeństwa (https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=OJ:L_202302841) ustanawiające środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach i jednostkach organizacyjnych Unii weszło w życie wczoraj, 7 stycznia 2024 r.
W rozporządzeniu ustanawia się środki służące ustanowieniu wewnętrznych ram zarządzania ryzykiem w cyberprzestrzeni, zarządzania nim i jego kontroli dla każdego podmiotu Unii oraz ustanawia się nową międzyinstytucjonalną Radę ds. Cyberbezpieczeństwa (IICB) w celu monitorowania i wspierania ich wdrażania przez podmioty Unii. Zapewnia on rozszerzony mandat zespołu reagowania na incydenty komputerowe w instytucjach, organach, urzędach i agencjach UE (CERT-UE) jako centrum wywiadu o zagrożeniach, wymiany informacji i koordynacji reagowania na incydenty, centralnego organu doradczego i dostawcy usług. Zgodnie ze swoim mandatem CERT-UE zostaje przemianowany na Służbę ds. Cyberbezpieczeństwa dla instytucji, organów, urzędów i agencji Unii, ale zachowuje nazwę skróconą „CERT-UE”.
Kolejne kroki
Zgodnie z harmonogramem określonym w rozporządzeniu podmioty Unii ustanowią wewnętrzne procesy zarządzania cyberbezpieczeństwem i będą stopniowo wprowadzać konkretne środki zarządzania ryzykiem w cyberprzestrzeni przewidziane w rozporządzeniu. IICB zostanie utworzona i rozpocznie działalność tak szybko, jak to możliwe, w celu zapewnienia strategicznego kierowania CERT-UE w ramach jego rozszerzonego mandatu, zapewnienia wskazówek i wsparcia podmiotom Unii oraz monitorowania wdrażania rozporządzenia.
Kontekst
W rezolucji z marca 2021 r. Rada Unii Europejskiej podkreśliła znaczenie solidnych i spójnych ram bezpieczeństwa dla ochrony całego personelu, danych, sieci komunikacyjnych, systemów informacyjnych i procesów decyzyjnych UE. W tym kontekście Komisja ogłosiła wniosek dotyczący rozporządzenia w sprawie cyberbezpieczeństwa w marcu 2022 r., a w czerwcu 2023 r. Parlament Europejski i Rada osiągnęły porozumienie polityczne.
Niniejsze rozporządzenie jest zgodne z celami polityki Komisji określonymi w strategii UE w zakresie unii bezpieczeństwa i strategii bezpieczeństwa cybernetycznego UE oraz zapewnia spójność z innymi inicjatywami ustawodawczymi w tej dziedzinie:
- Dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („NIS 2″), do której przepisy te są dostosowane pod względem zasad i poziomu ambicji, przy jednoczesnym poszanowaniu specyfiki podmiotów unijnych;
- Akt o cyberbezpieczeństwie;
- Zaleceniem Komisji w sprawie skoordynowanego reagowania na szczeblu unijnym na incydenty i kryzysy cybernetyczne na dużą skalę.
Rozporządzenie w sprawie cyberbezpieczeństwa przedstawiono wraz z wnioskiem dotyczącym rozporządzenia w sprawie bezpieczeństwa informacji, w którym określono minimalne zasady i normy bezpieczeństwa informacji dla wszystkich instytucji, organów, urzędów i agencji UE. Niniejszy wniosek ma na celu bezpieczną wymianę informacji między instytucjami, organami i jednostkami organizacyjnymi UE oraz z państwami członkowskimi w oparciu o znormalizowane praktyki i środki ochrony przepływu informacji. Negocjacje między współprawodawcami w sprawie tego wniosku jeszcze się nie rozpoczęły.