Jednym z najważniejszych wyzwań dla współczesnego świata jest cybersecurity, czyli bezpieczeństwo "w sieci". Nie mówimy o sytuacjach hipotetycznych, potencjalnych, ale o realnych atakach, zarówno o podłożu ekonomicznym: zorganizowana przestępczość, która włamuje się na konta internetowe i kradnie, a z drugiej strony konkurencja, która dokonuje hakerskich ataków na inne firmy w branży. Skupmy się jednak na atakach hakerów motywowanych politycznie. Przykłady w tym drugim obszarze są nam, Polakom, dobrze znane ze względu na ataki hakerów - prawie na pewno rosyjskich - na polskie, nawet zabezpieczone sieci rządowe, jak też podobne, tyle że przeprowadzane z większym skutkiem i na większą skalę ataki z tego samego źródła na Łotwie i Estonii.
Nowa unijna dyrektywa: "cybersecurity"
Warto prześledzić, co czyni Unia Europejska, aby zapewnić bezpieczeństwo w sieci. Ostatnio Rada Europejska, przy czynnym poparciu Polski, zgodziła się na nową unijną dyrektywę o cyberbezpieczeństwie - NIS2. Warto jednak bardziej precyzyjnie określić, o czym mówimy. Otóż Międzynarodowy Związek Telekomunikacyjny (ITU) definiuje cyberbezpieczeństwo jako zbiór narzędzi, polityk, koncepcji bezpieczeństwa, zabezpieczeń, wytycznych, metod zarządzania ryzykiem, działań, szkoleń, najlepszych praktyk, gwarancji i technologii, które można wykorzystać do ochrony cyberśrodowiska i organizacji i majątku użytkownika.
Pod pojęciem "cyberbezpieczeństwa" rozumiemy dążenie do zapewnienia osiągnięcia i utrzymania właściwości bezpieczeństwa organizacji i aktywów użytkownika przed odpowiednimi zagrożeniami bezpieczeństwa w środowisku cybernetycznym. Proszę wybaczyć, może zbyt techniczny język, ale precyzja w tym obszarze jest fundamentem.
Cyberataki i cyberprzestępczość są coraz częstsze i coraz bardziej wyrafinowane w całej Europie. Unia Europejska szacuje, że tendencja ta będzie w przyszłości dalej rosnąć, biorąc pod uwagę, że do roku 2022 aż 2 miliardy 300 milionów urządzeń na całym świecie będzie połączonych z internetem. Wzmocnienie cyberbezpieczeństwa jest obecnie głównym celem Unii Europejskiej. UE definiuje cyberbezpieczeństwo jako obszar obejmujący wszystkie aspekty zapobiegania, prognozowania, tolerancji, wykrycia, łagodzenia, usuwania, analiz i badania incydentów cybernetycznych.
NIS 2 kontra dyktatury
Według Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) z siedzibą w Atenach, biorąc pod uwagę różne rodzaje komponentów cyberprzestrzeni, cyberbezpieczeństwo powinno obejmować następujące atrybuty: dostępność, niezawodność, bezpieczeństwo, poufność, integralność, konserwowalność (w przypadku namacalnych systemów, informacji i sieci), solidność, przeżywalność, odporność (w celu wsparcia dynamiki cyberprzestrzeni), rozliczalność, autentyczność i niezaprzeczalność (w celu wsparcia bezpieczeństwa informacji).
Dosłownie w ostatnim czasie, 3 grudnia 2021 roku, Rada Europejska uzgodniła swoje stanowisko w sprawie podjęcia działań na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej UE tak, aby jeszcze bardziej poprawić odporność i zdolność reagowania na ataki hakerskie, zarówno na sektor publiczny, jak i prywatny, a także instytucje unijne. Po przyjęciu nowa dyrektywa, zwana "NIS2", zastąpi obecną dyrektywę w sprawie bezpieczeństwa sieci i systemów informatycznych (NIS). Znacznie wcześniej, bo 16 grudnia 2020 roku, Komisja Europejska przyjęła wniosek dotyczący NIS2 w ramach unijnej strategii cyberbezpieczeństwa. Celem tej strategii jest wzmocnienie odporności Europy na zagrożenia cybernetyczne oraz zapewnienie, aby wszyscy obywatele i przedsiębiorstwa mogły w pełni korzystać z godnych zaufania i niezawodnych usług oraz narzędzi cyfrowych.
Obecnie nowa strategia zawiera konkretne propozycje dotyczące wdrażania instrumentów regulacyjnych, inwestycyjnych i politycznych. W konkluzjach z dnia 22 marca 2021 roku w sprawie "Unijnej strategii cyberbezpieczeństwa na dekadę cyfrową" Rada Europejska - a więc organ skupiający szefów rządów UE 27 - przyjęła do wiadomości nowy wniosek, który opiera się na dyrektywie w sprawie bezpieczeństwa sieci i informacji oraz ponownie wyraziła poparcie dla wzmocnienia i harmonizacji krajowych ram cyberbezpieczeństwa oraz trwałej współpracy między państwami członkowskimi. NIS2 dodatkowo wzmacnia architekturę cyberbezpieczeństwa UE. Zgodnie z poprawionym projektem, NIS2 dąży do bardziej sprawnego zarządzania ryzykiem i walki z atakami hackerskimi, za którymi stoją często duże państwa - dyktatury oraz o współpracy w tym obszarze w ramach Unii.
EU-CyCLONe nie dla wszystkich
Rada Europejska stwierdziła w specjalnym komunikacie prasowym, że NIS2 wyznaczy punkt odniesienia dla środków zarządzania ryzykiem cyberbezpieczeństwa i obowiązków sprawozdawczych we wszystkich sektorach objętych dyrektywą, takich jak energia, transport, zdrowie i infrastruktura cyfrowa. Zmieniona dyrektywa ma na celu usunięcie rozbieżności w wymogach cyberbezpieczeństwa oraz we wdrażaniu środków cyberbezpieczeństwa w różnych państwach członkowskich. Aby to osiągnąć, określa ona minimalne zasady ram regulacyjnych, a także przedstawia mechanizmy skutecznej współpracy między odpowiednimi organami w każdym państwie członkowskim. Dyrektywa aktualizuje także wykaz sektorów i działań podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz przewiduje środki zaradcze i sankcje w celu zapewnienia i egzekwowania.
Bardzo ważną decyzją NIS2 jest formalne ustanowienie Europejskiej Sieci Organizacji Łącznikowej ds. Cyberkryzysu (EU-CyCLONe). Zgodnie z nową dyrektywą EU-CyCLONe powinien działać jako sieć pośrednicząca między poziomem technicznym a politycznym podczas ataków na bezpieczeństwo w sieci i kryzysów cybernetycznych na dużą skalę. Powinien również zacieśnić współpracę na poziomie operacyjnym, opierając się na ustaleniach sieci CSIRT, i wykorzystywać własne zdolności do tworzenia analiz skutków ataków i kryzysów na dużą skalę oraz wspierać podejmowanie decyzji na szczeblu politycznym. Obecny organ odpowiedzialny za zarządzanie atakami hakerskimi i kryzysami na dużą skalę związanymi z bezpieczeństwem powinien zostać wyznaczony przez instytucje, organy i agencje Unii Europejskiej do członkostwa w EU-CyCLONe.
Dyrektywa NIS2 stwierdza również, że odpowiedzialność za zapewnienie bezpieczeństwa sieci i systemu informatycznego w dużej mierze spoczywa na kluczowych podmiotach. Należy promować i rozwijać kulturę zarządzania ryzykiem, obejmującą ocenę ryzyka i wdrażanie środków bezpieczeństwa adekwatnych do występującego ryzyka. Oświadczenie Rady Europejskiej wyjaśnia również, że nowa dyrektywa NIS2 nie będzie miała zastosowania do podmiotów prowadzących działalność w obszarach takich jak obronność lub bezpieczeństwo narodowe, bezpieczeństwo publiczne, egzekwowanie prawa i sądownictwo. Z jej zakresu wyłączone są również parlamenty narodowe i banki centralne. Po przedstawieniu tekstu tej dyrektywy prezydencja Rady Europejskiej - właśnie kończy się półrocze prezydencji Słowenii, a 1 stycznia 2022 roku rozpocznie się sześciomiesięczne kierowanie Unią przez Francję - rozpocznie negocjacje z Parlamentem Europejskim. Zarówno Rada, jak również Parlament Europejski będą musiały uzgodnić w procedurze "trilogu" ostateczny tekst, aby został on oficjalnie przyjęty na poziomie Unii Europejskiej i stał się częścią jej prawa.
*Jest to polska wersja artykułu Ryszarda Czarneckiego, który ukazał się w ostatnich dniach w tygodniku "New Delhi Times"
