Jednym z najważniejszych wyzwań dla współczesnego świata jest bezpieczeństwo w sieci. Nie mówimy o sytuacjach hipotetycznych, potencjalnych, lecz o realnych atakach, np. o podłożu ekonomicznym: zorganizowana przestępczość (włamania na konta internetowe i kradzieże) czy ataki hakerskie na konkurencyjne firmy w branży. Skupmy się jednak na atakach hakerów motywowanych politycznie.
Przykłady w tym drugim obszarze są nam, Polakom, dobrze znane ze względu na ataki hakerów, z dużym prawdopodobieństwem rosyjskich, na polskie, nawet zabezpieczone sieci rządowe. Wiemy też o podobnych, tyle że przeprowadzonych z większym skutkiem i na większą skalę atakach pochodzących z tego samego źródła na infrastrukturę informatyczną na Łotwie i w Estonii.
Warto prześledzić, co czyni Unia Europejska, aby zapewnić bezpieczeństwo w sieci. Ostatnio Rada Europejska, przy czynnym poparciu Polski, zgodziła się na nową unijną dyrektywę dotyczącą cyberbezpieczeństwa – NIS2 (The Network and Information Security Directive).
Warto jednak bardziej precyzyjnie określić, o czym mówimy. Otóż Międzynarodowy Związek Telekomunikacyjny (ITU) definiuje cyberbezpieczeństwo jako zbiór narzędzi, koncepcji bezpieczeństwa, zabezpieczeń, wytycznych, metod zarządzania ryzykiem, działań, szkoleń, najlepszych praktyk, gwarancji i technologii, które można wykorzystać do ochrony cyberśrodowiska oraz majątku użytkownika.
Pod pojęciem „cyberbezpieczeństwo” rozumiemy dążenie do zapewnienia osiągnięcia i utrzymania właściwości bezpieczeństwa organizacji oraz aktywów użytkownika przed odpowiednimi zagrożeniami w środowisku cybernetycznym. Proszę wybaczyć może zbyt techniczny język, ale precyzja w tym obszarze jest fundamentem.
W całej Europie cyberataki i cyberprzestępczość są coraz częstsze i coraz bardziej wyrafinowane. Unia Europejska szacuje, że tendencja ta będzie w przyszłości dalej rosnąć, biorąc pod uwagę, że do roku 2022 aż 2 mld 300 mln urządzeń na całym świecie będzie połączonych z internetem. Wzmocnienie cyberbezpieczeństwa jest obecnie głównym celem Unii Europejskiej. UE definiuje cyberbezpieczeństwo jako obszar obejmujący wszystkie aspekty zapobiegania, prognozowania, tolerancji, wykrycia, łagodzenia, usuwania, analiz i badania incydentów cybernetycznych.
Według Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) z siedzibą w Atenach, gdy weźmie się pod uwagę różne rodzaje komponentów cyberprzestrzeni, cyberbezpieczeństwo powinno obejmować następujące atrybuty: dostępność, niezawodność, bezpieczeństwo, poufność, integralność, konserwowalność (w przypadku namacalnych systemów, informacji i sieci), solidność, przeżywalność, odporność (w celu wsparcia dynamiki cyberprzestrzeni), rozliczalność, autentyczność i niezaprzeczalność (w celu wsparcia bezpieczeństwa informacji).
Dosłownie w ostatnim czasie, 3 grudnia 2021 r. Rada Europejska uzgodniła swoje stanowisko w sprawie podjęcia działań na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej UE, tak aby jeszcze bardziej poprawić odporność i zdolność reagowania na ataki hakerskie, zarówno na sektor publiczny, jak i prywatny, a także instytucje unijne. Po przyjęciu nowa dyrektywa, zwana NIS2, zastąpi obecną dyrektywę w sprawie bezpieczeństwa sieci i systemów informatycznych (NIS). Znacznie wcześniej, bo 16 grudnia 2020 r. Komisja Europejska przyjęła wniosek dotyczący NIS2 w ramach unijnej strategii cyberbezpieczeństwa. Celem tej strategii jest wzmocnienie odporności Europy na zagrożenia cybernetyczne oraz sprawienie, by wszyscy obywatele i przedsiębiorstwa mogli w pełni korzystać z godnych zaufania i niezawodnych usług oraz narzędzi cyfrowych.
Obecnie nowa strategia zawiera konkretne propozycje dotyczące wdrażania instrumentów regulacyjnych, inwestycyjnych i politycznych. W konkluzjach z dnia 22 marca 2021 r. w sprawie „Unijnej strategii cyberbezpieczeństwa na dekadę cyfrową” Rada Europejska – a więc organ skupiający szefów rządów 27 państw UE – przyjęła nowy wniosek, który opiera się na dyrektywie w sprawie bezpieczeństwa sieci i informacji, oraz ponownie wyraziła poparcie dla wzmocnienia i harmonizacji krajowych ram cyberbezpieczeństwa oraz trwałej współpracy między państwami członkowskimi. NIS2 dodatkowo wzmacnia architekturę cyberbezpieczeństwa UE. NIS2 dąży do bardziej sprawnych zarządzania ryzykiem i walki z atakami hakerskimi, za którymi stoją często duże państwa (dyktatury), oraz do współpracy w tym obszarze w ramach Unii.
Rada Europejska stwierdziła w specjalnym komunikacie prasowym, że NIS2 wyznaczy punkt odniesienia dla środków zarządzania ryzykiem cyberbezpieczeństwa i obowiązków sprawozdawczych we wszystkich sektorach objętych dyrektywą, takich jak energia, transport, zdrowie i infrastruktura cyfrowa. Zmieniona dyrektywa ma na celu usunięcie rozbieżności w wymogach cyberbezpieczeństwa oraz we wdrażaniu środków cyberbezpieczeństwa w różnych państwach członkowskich. Aby to osiągnąć, określa ona minimalne zasady ram regulacyjnych, a także przedstawia mechanizmy skutecznej współpracy między odpowiednimi organami w każdym państwie członkowskim. Dyrektywa aktualizuje także wykaz sektorów i działań podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz przewiduje środki zaradcze i sankcje w celu zapewnienia i egzekwowania.
Bardzo ważną decyzją NIS2 jest formalne ustanowienie Europejskiej Sieci Organizacji Łącznikowej ds. Cyberkryzysu (EU-CyCLONe). Zgodnie z nową dyrektywą EU-CyCLONe powinien działać jako sieć pośrednicząca między poziomem technicznym a politycznym podczas ataków na bezpieczeństwo w sieci i kryzysów cybernetycznych na dużą skalę. Powinien również zacieśnić współpracę na poziomie operacyjnym, opierając się na ustaleniach sieci CSIRT, i wykorzystywać własne zdolności do tworzenia analiz skutków ataków i kryzysów na dużą skalę oraz wspierać podejmowanie decyzji na szczeblu politycznym. Obecny organ odpowiedzialny za zarządzanie atakami hakerskimi i kryzysami na dużą skalę związanymi z bezpieczeństwem powinien zostać wyznaczony przez instytucje, organy i agencje Unii Europejskiej do członkostwa w EU-CyCLONe.
Dyrektywa NIS2 stwierdza również, że odpowiedzialność za zapewnienie bezpieczeństwa sieci i systemu informatycznego w dużej mierze spoczywa na kluczowych podmiotach. Należy promować i rozwijać kulturę zarządzania ryzykiem, obejmującą ocenę ryzyka i wdrażanie środków bezpieczeństwa adekwatnych do występującego ryzyka. Oświadczenie Rady Europejskiej wyjaśnia również, że nowa dyrektywa NIS2 nie będzie miała zastosowania do podmiotów prowadzących działalność w obszarach takich, jak obronność lub bezpieczeństwo narodowe, bezpieczeństwo publiczne, egzekwowanie prawa i sądownictwo. Z jej zakresu wyłączone są również parlamenty narodowe i banki centralne. Po przedstawieniu tekstu tej dyrektywy prezydencja Rady Europejskiej (właśnie kończy się półrocze prezydencji Słowenii, a 1 stycznia 2022 r. rozpocznie się sześciomiesięczne kierowanie Unią przez Francję) rozpocznie negocjacje z Parlamentem Europejskim. Zarówno Rada, jak i Parlament Europejski będą musiały uzgodnić w procedurze trilogu ostateczny tekst, aby został oficjalnie przyjęty na poziomie Unii Europejskiej i stał się częścią jej prawa.
Jest to polska wersja artykułu „European Council agrees on the new EU Cybersecurity Directive – NIS2”, który ukazał się na łamach „New Delhi Times”. Nadtytuł, tytuł i śródtytuły pochodzą od redakcji „Gazety Polskiej Codziennie”