Nowe przepisy dotyczące cyberbezpieczeństwa!

Komisja Europejska z zadowoleniem przyjmuje porozumienie polityczne osiągnięte przez Parlament Europejski i Radę UE w sprawie proponowanego przez Komisję rozporządzenia ustanawiającego środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach, urzędach i agencjach Unii. Negocjacje dobiegły końca, a tekst prawny musi jeszcze zostać formalnie zatwierdzony przez Parlament Europejski i Radę.

Komisja przedstawiła wniosek dotyczący rozporządzenia w sprawie cyberbezpieczeństwa w marcu 2022 r. Wspomniane rozporządzenie wprowadzi ramy nadzoru, zarządzania ryzykiem i kontroli w dziedzinie cyberbezpieczeństwa w odniesieniu do wszystkich podmiotów UE i utworzy nową Międzyinstytucjonalną Radę ds. Cyberbezpieczeństwa w celu monitorowania jego wdrażania. Zostanie również rozszerzony mandat zespołu reagowania na incydenty komputerowe dla instytucji, organów, urzędów i agencji UE (CERT-UE) jako punktu analizy cyberzagrożeń, wymiany informacji i koordynacji reagowania na incydenty, centralnego organu doradczego i dostawcy usług. Nazwa CERT-UE zostanie zmieniona na „Centrum ds. cyberbezpieczeństwa instytucji, organów i agencji Unii”, aby odzwierciedlić jego nowy mandat. Jednocześnie skrócona nazwa CERT-UE zostanie zachowana do celów uznawania.

Kluczowe elementy wniosku dla wszystkich instytucji, organów, urzędów i agencji UE są następujące:

• posiadanie ram nadzoru, zarządzania ryzykiem i kontroli w dziedzinie cyberbezpieczeństwa;
• przeprowadzanie regularnych ocen dojrzałości;
• wdrożenie środków w zakresie cyberbezpieczeństwa odnoszących się do zidentyfikowanych zagrożeń;
• opracowanie planu poprawy ich cyberbezpieczeństwa;
• wymiana informacji dotyczących incydentów z CERT-UE bez zbędnej zwłoki.

Co dalej?

Po sfinalizowaniu tekstu, zanim nowe rozporządzenie będzie mogło wejść w życie, musi zostać formalnie przyjęte przez Parlament Europejski i Radę. Podmioty unijne będą wówczas zobowiązane do przestrzegania obowiązków i dotrzymywania terminów określonych w tekście. Podniesie to poziom cyberbezpieczeństwa w administracji UE, która będzie lepiej przygotowana na przyszłe wyzwania. 

Przebieg procedury

W rezolucji z marca 2021 r. Rada Unii Europejskiej podkreśliła znaczenie solidnych i spójnych ram bezpieczeństwa dla ochrony całego personelu, danych, sieci komunikacyjnych, systemów informacyjnych i procesów decyzyjnych UE. Można to osiągnąć jedynie poprzez zwiększenie odporności i podniesienie poziomu kultury bezpieczeństwa instytucji, organów, urzędów i agencji UE.

W następstwie strategii UE w zakresie unii bezpieczeństwa oraz strategii UE w zakresie cyberbezpieczeństwa rozporządzenie w sprawie cyberbezpieczeństwa zapewni spójność z obecną polityką UE w dziedzinie cyberbezpieczeństwa przy pełnej zgodności z obowiązującym ustawodawstwem unijnym:

• Dyrektywa w sprawie środków na rzecz wspólnego wysokiego poziomu cyberbezpieczeństwa w całej Unii („dyrektywa NIS 2”), do której przedmiotowe przepisy są dostosowane pod względem zasad i poziomu ambicji, przy jednoczesnym poszanowaniu specyfiki podmiotów unijnych;
• Akt o cyberbezpieczeństwie;
• Zalecenie Komisji w sprawie skoordynowanego reagowania na szczeblu unijnym na incydenty i kryzysy cybernetyczne na dużą skalę.

Dodatkowe informacje

• Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie bezpieczeństwa informacji w instytucjach, organach, urzędach i agencjach Unii;

Źródło: Komisja Europejska