Cyberbezpieczeństwo w UE: strategia i główne polityki

Unijna strategia cyberbezpieczeństwa

W październiku 2020 r. unijni przywódcy UE wezwali państwa członkowskie do zapewnienia:

• ochrony UE przed cyberzagrożeniami
• bezpiecznego środowiska łączności, w tym poprzez szyfrowanie kwantowe
• dostępu do danych do celów postępowań sądowych i egzekwowania prawa.

Zdecydowane działania na rzecz cyberbezpieczeństwa, budujące otwartą i bezpieczną cyberprzestrzeń, mogą zwiększyć wiarygodność narzędzi i usług cyfrowych. Cyberbezpieczeństwo oznacza ochronę sieci i systemów informatycznych, użytkowników tych systemów oraz innych podmiotów narażonych na cyberzagrożenia.

• Nadzwyczajny szczyt Rady Europejskiej (1–2 października 2020)

W grudniu 2020 r. Komisja Europejska i Europejska Służba Działań Zewnętrznych (ESDZ) przedstawiły nową unijną strategię cyberbezpieczeństwa. Ma ona zwiększyć odporność Europy na cyberzagrożenia i w pełni zapewnić wszystkim obywatelom i firmom możliwość korzystania z wiarygodnych narzędzi i usług cyfrowych.

• Unijna strategia cyberbezpieczeństwa (Europejska Służba Działań Zewnętrznych)

22 marca 2021 r. Rada przyjęła konkluzje w sprawie strategii cyberbezpieczeństwa, podkreślając, że cyberbezpieczeństwo ma zasadnicze znaczenie dla budowania odpornej, ekologicznej i cyfrowej Europy. Ministrowie unijni zdefiniowali podstawowy cel, czyli osiągnięcie strategicznej autonomii przy jednoczesnym zachowaniu otwartej gospodarki. Chodzi m.in. o większe możliwości dokonywania samodzielnych wyborów w obszarze cyberbezpieczeństwa, przy jednoczesnym wzmocnieniu czołowej pozycji UE w kwestiach cyfrowych i jej zdolności strategicznych.

• Rada przyjmuje konkluzje w sprawie strategii UE w zakresie cyberbezpieczeństwa (komunikat prasowy z 22 marca 2021)

Główne unijne polityki cyberbezpieczeństwa

Plan na rzecz cyberbezpieczeństwa

6 czerwca 2025 r. Rada przyjęła Plan działania UE na rzecz zarządzania cyberkryzysami.

Zapewnia on kompleksowe i szczegółowe ramy zarządzania cyberkryzysami na szczeblu UE, opierając się na analogicznym planie z 2017 r.

Plan ma:

• zapewnić skuteczne i efektywne reagowanie na cyberincydenty na dużą skalę
• wspierać bardziej zorganizowaną współpracę między podmiotami cywilnymi i wojskowymi
• wyjaśnić, czym jest cyberkryzys i na jakiej podstawie uruchamiany jest mechanizm cyberkryzysowy.

• UE przyjmuje plan lepszego zarządzania cyberkryzysami i cyberincydentami w Europie (komunikat prasowy z 6 czerwca 2025)

Unijny akt o cybersolidarności

2 grudnia 2024 r. Rada przyjęła akt o cybersolidarności. Przyjęte rozporządzenie ustanawia ogólnounijne zdolności, dzięki którym Europa stanie się bardziej odporna na cyberzagrożenia i będzie na nie skuteczniej reagować. Wzmacnia również mechanizmy współpracy.

Nowe przepisy:

• ustanawiają „system cyberostrzeżeń” – ogólnoeuropejską infrastrukturę składającą się z krajowych i transgranicznych centrów cyberbezpieczeństwa odpowiedzialnych za pomoc w wykrywaniu cyberzagrożeń i cyberincydentów
• przewidują utworzenie mechanizmu cyberkryzysowego, który ma zwiększać gotowość i chronić podmioty krytyczne i podmioty świadczące usługi kluczowe, takie jak szpitale czy zakłady użyteczności publicznej
• wzmacniają solidarność na szczeblu UE, wspólne zarządzanie kryzysowe i zdolności reagowania w państwach członkowskich
• przyczyniają się do zapewnienia obywatelom i firmom bezpiecznego i chronionego środowiska cyfrowego.

Akt o cybersolidarności wszedł w życie 4 lutego 2025 r.

• Pakiet o cyberbezpieczeństwie: UE zyska większe zdolności (komunikat prasowy z 2 grudnia 2024)

Unijny akt o cyberbezpieczeństwie

Unijny akt o cyberbezpieczeństwie został przyjęty przez Radę w kwietniu 2019 r. Wprowadził:

• ogólnounijny program certyfikacji
• stały, silniejszy mandat Agencji UE ds. Cyberbezpieczeństwa (ENISA).

Europejskie programy certyfikacji

W przeszłości państwa UE stosowały różne programy certyfikacji cyberbezpieczeństwa w odniesieniu do produktów technologii informacyjno-komunikacyjnych (ICT), co doprowadziło do fragmentacji rynku i barier regulacyjnych. Za pomocą aktu o cyberbezpieczeństwie UE wprowadziła jednolite ogólnounijne ramy certyfikacji, które:

• budują zaufanie
• przyczyniają się do rozwoju rynku cyberbezpieczeństwa
• ułatwiają handel w UE.

Ramy certyfikacji to kompleksowy zestaw zasad, wymogów technicznych, standardów i procedur.

W grudniu 2024 r. UE przyjęła ukierunkowaną zmianę aktu o cyberbezpieczeństwie, aby umożliwić ustanowienie unijnych systemów certyfikacji dla tzw. usług zarządzanych w zakresie bezpieczeństwa. Te usługi to np. obsługa incydentu, przeprowadzanie testów penetracyjnych i audytów bezpieczeństwa oraz doradztwo związane ze wsparciem technicznym.

Agencja UE ds. Cyberbezpieczeństwa

Agencja UE ds. Cyberbezpieczeństwa (ENISA), z siedzibą w Atenach, stara się zapewnić wysoki wspólny poziom cyberbezpieczeństwa w całej UE. Wspiera państwa członkowskie, instytucje UE i inne zainteresowane strony w zwiększaniu cyberbezpieczeństwa i w stawianiu czoła cyberatakom.

ENISA została utworzona w 2004 r., a unijny akt o cyberbezpieczeństwie nadał jej stały mandat, przyznał jej więcej zasobów i zwiększył jej rolę.

W grudniu 2024 r. Rada zatwierdziła konkluzje zawierające szereg zaleceń i sugestii w zakresie wzmocnienia tej agencji.

• Pakiet o cyberbezpieczeństwie: UE zyska większe zdolności (komunikat prasowy z 2 grudnia 2024)
• ENISA: Rada zatwierdza konkluzje o silniejszej Agencji ds. Cyberbezpieczeństwa (komunikat prasowy z 6 grudnia 2024)
• Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA)

Unijny akt o cyberodporności

Akt o cyberodporności, przyjęty przez Radę 10 października 2024 r., ustanawia wymogi cyberbezpieczeństwa dla produktów z elementami cyfrowymi podłączonych do internetu lub do innych urządzeń. Dzięki tym wymogom produkty takie jak domowe kamery, lodówki, telewizory i zabawki podłączone do internetu będą bezpieczne dla użytkownika – zanim trafią na rynek i przez cały cykl życia.

Nowe przepisy zwiększają również przejrzystość: konsumenci będą mieli dostęp do informacji na temat cyberbezpieczeństwa produktów, które kupują i z których korzystają.

• Akt o cyberodporności: przepisy o bezpieczeństwie produktów cyfrowych przyjęte

Dyrektywa o bezpieczeństwie sieci i informacji

Dyrektywa o bezpieczeństwie sieci i informacji (NIS) była pierwszym ogólnounijnym aktem prawnym służącym zacieśnieniu współpracy państw członkowskich w zakresie cyberbezpieczeństwa. Została wprowadzona w 2016 r. i określała obowiązki z zakresu bezpieczeństwa, którym mieli podlegać operatorzy usług kluczowych (w sektorach krytycznych, takich jak energetyka, transport, zdrowie i finanse) oraz dostawcy usług cyfrowych (internetowe platformy handlowe, wyszukiwarki, usługi w chmurze).

W 2022 r. UE przyjęła zmienioną dyrektywę NIS (NIS 2), która zastąpiła dyrektywę z 2016 r. Nowe przepisy zapewniają wysoki wspólny poziom cyberbezpieczeństwa w Unii – w odpowiedzi na ewoluujący krajobraz zagrożeń – oraz uwzględniają szybszą od czasu pandemii Covid-19 transformację cyfrową.

Dyrektywa NIS 2:

• ustala minimalne zasady regulacyjne
• ustanawia mechanizmy skutecznej współpracy między stosownymi organami poszczególnych państw UE
• uaktualnia listę sektorów i czynności podlegających obowiązkom z dziedziny cyberbezpieczeństwa
• ustanawia przepisy dotyczące obsługi cyberincydentów (link do RODO).

Państwa członkowskie miały czas do października 2024 r. na pełną transpozycję i wdrożenie dyrektywy NIS 2.

• UE chce wzmocnić cyberbezpieczeństwo i odporność na całym terytorium: Rada przyjmuje nowe przepisy

Unijny zestaw narzędzi dotyczących sieci 5G

Sieci 5G są nieodzowne nie tylko dla komunikacji cyfrowej, lecz także dla sektorów krytycznych, takich jak energetyka, transport, bankowość i zdrowie.

Technologia 5G stanowi również jeden z kluczowych atutów Europy, który pozwala jej konkurować na światowych rynkach. Bezpieczeństwo tej technologii to zatem podstawowy warunek strategicznej autonomii Unii.

W styczniu 2020 r. UE uzgodniła zestaw narzędzi, by określić wspólne działania ograniczające główne cyberzagrożenia dla sieci 5G i by zapewnić doradztwo w tym zakresie.

• Znaczenie sieci 5G i związane z nią zagrożenia dla bezpieczeństwa – Rada przyjmuje konkluzje
• Bezpieczne sieci 5G: pytania i odpowiedzi dotyczące zestawu narzędzi UE

Finansowanie i badania naukowe

UE działa na wielu frontach, starając się zwiększać cyberodporność, chronić komunikację i dane oraz zapewniać bezpieczeństwo naszego społeczeństwa i naszej gospodarki w internecie. Jej działania obejmują wspieranie badań naukowych i zwiększanie finansowania innowacji w dziedzinie cyberbezpieczeństwa.

„Cyfrowa Europa”

W ramach programu „Cyfrowa Europa” (2021‒2027) UE przeznaczyła 1,6 mld euro na inwestycje w zdolności cyberbezpieczeństwa oraz na szeroko zakrojone wdrożenie w całej UE infrastruktury i narzędzi cyberbezpieczeństwa z myślą o administracji publicznej, firmach i obywatelach.

• Program „Cyfrowa Europa”: Rada daje zielone światło (komunikat prasowy z 16 marca 2021)
• Europa inwestuje w cyfryzację: program „Cyfrowa Europa” (Komisja Europejska)

„Horyzont Europa”

Kluczową sprawą jest wypracowanie innowacyjnych rozwiązań, które będą chronić nas przed najnowszymi, najbardziej zaawansowanymi cyberzagrożeniami. Dlatego cyberbezpieczeństwo jest ważnym elementem unijnego programu finansowania badań i innowacji „Horyzont 2020” i programu „Horyzont Europa”, który jest jego następcą. W maju 2020 r. UE zarezerwowała 49 mln euro na zwiększenie innowacji w systemach cyberbezpieczeństwa i prywatności.

• „Horyzont Europa”
• UE przeznacza niemal 49 mln EUR na zwiększenie innowacji w systemach cyberbezpieczeństwa i prywatności (Komisja Europejska, 20 maja 2020)

Program „Droga ku cyfrowej dekadzie” 2030

Bezpieczeństwo cyfrowe zależy od istnienia wystarczającej liczby ekspertów mających odpowiednie umiejętności. Obecnie występuje znaczny niedobór takich osób, dlatego UE aktywnie inwestuje w rozwój umiejętności w zakresie cyberbezpieczeństwa.

Program „Droga ku cyfrowej dekadzie” 2030 wspiera inwestycje w takich kluczowych obszarach jak: obliczenia wielkiej skali, wspólna infrastruktura danych i wspólne usługi danych, technologia blockchain, procesory o niskim zużyciu energii, ogólnoeuropejski rozwój korytarzy 5G, zaawansowane technologicznie partnerstwa na rzecz umiejętności cyfrowych, bezpieczna infrastruktura kwantowa, sieć centrów cyberbezpieczeństwa, cyfrowa administracja publiczna, zaplecze testowe i centra innowacji cyfrowych.

• Centrum kompetencji w dziedzinie cyberbezpieczeństwa (Bukareszt): Rada daje zielone światło (komunikat prasowy z 20 kwietnia 2021)
• Europejskie centrum kompetencji w dziedzinie cyberbezpieczeństwa i sieć ośrodków koordynacji

Centrum kompetencji w dziedzinie cyberbezpieczeństwa

W kwietniu 2021 r. Rada przyjęła rozporządzenie ustanawiające Europejskie Centrum Kompetencji Przemysłowych, Technologicznych i Badawczych w dziedzinie Cyberbezpieczeństwa, z siedzibą w Bukareszcie, wspierane przez sieć krajowych ośrodków koordynacji.

Centrum ma:

• stale zwiększać cyberodporność
• pomagać we wdrażaniu najnowszych technologii z zakresu cyberbezpieczeństwa
• wspierać start-upy i MŚP zajmujące się cyberbezpieczeństwem
• pogłębiać badania i innowacje w tej dziedzinie
• pomagać wypełnić braki umiejętności.