Rada Unii Europejskiej Bruksela, 14 września 2017 r. (OR. en) 12208/17 PISMO PRZEWODNIE Od: Data otrzymania: 13 września 2017 r. Do: Nr dok. Kom.: Dotyczy: CYBER 129 TELECOM 209 ENFOPOL 411 MI 632 JAI 787 Sekretarz Generalny Komisji Europejskiej, podpisał dyrektor Jordi AYET PUIGARNAU Jeppe TRANHOLM-MIKKELSEN, Sekretarz Generalny Rady Unii Europejskiej COM(2017) 478 final SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY w sprawie oceny Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) Delegacje otrzymują w załączeniu dokument COM(2017) 478 final. Zał.: COM(2017) 478 final 12208/17 gt DGD2B PL
KOMISJA EUROPEJSKA Bruksela, dnia 13.9.2017 r. COM(2017) 478 final SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY w sprawie oceny Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) PL PL
1. WPROWADZENIE 1.1 PODSTAWOWE INFORMACJE O ENISA Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) ustanowiono w 2004 r. i okresowo odnawiano jej mandat. Obecny mandat ENISA, który określono w rozporządzeniu (UE) nr 526/2013 1 ( rozporządzenie w sprawie ENISA ), wygaśnie w dniu 19 czerwca 2020 r. Działalność prowadzona przez ENISA na podstawie powierzonego jej mandatu ma przyczyniać się do zapewniania wysokiego poziomu bezpieczeństwa sieci i informacji w Unii. W rozporządzeniu w sprawie ENISA określono szczegółowe cele Agencji, stanowiąc, że Agencja: rozwija i utrzymuje wysoki poziom wiedzy specjalistycznej; pomaga instytucjom, organom, urzędom i agencjom Unii w opracowywaniu polityk z zakresu bezpieczeństwa sieci i informacji; pomaga instytucjom, organom, urzędom i agencjom Unii oraz państwom członkowskim w realizacji polityki niezbędnej do spełniania wymogów prawnych i regulacyjnych w zakresie bezpieczeństwa sieci i informacji określonych w obowiązujących i przyszłych aktach prawnych Unii, przyczyniając się tym samym do prawidłowego funkcjonowania rynku wewnętrznego; pomaga Unii i państwom członkowskim w zwiększaniu i wzmacnianiu ich zdolności i gotowości do zapobiegania problemom i incydentom w zakresie bezpieczeństwa sieci i informacji, ich wykrywania oraz skutecznego reagowania na te zdarzenia; wykorzystuje swoją wiedzę specjalistyczną do pobudzania szeroko zakrojonej współpracy między podmiotami sektora publicznego i prywatnego. Ponadto w dyrektywie (UE) 2016/1148 2 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii ( dyrektywa w sprawie bezpieczeństwa sieci i informacji ) unijni współprawodawcy postanowili powierzyć ENISA ważną rolę we wdrażaniu prawa. W szczególności Agencja zapewnia sekretariat sieci CSIRT (utworzonej w celu wspierania szybkiej i skutecznej współpracy operacyjnej między państwami członkowskimi), a także ma pomagać grupie współpracy, powołanej na potrzeby współpracy strategicznej, w realizacji zadań tej grupy. Ponadto w dyrektywie w sprawie bezpieczeństwa sieci i informacji zobowiązano ENISA do wspierania państw członkowskich i Komisji poprzez dzielenie się specjalistyczną wiedzą i zapewnianie doradztwa oraz poprzez ułatwianie wymiany najlepszych praktyk. Agencja mieści się w Grecji, a jej siedziba administracyjna znajduje się w Heraklionie (na Krecie), podstawową działalność operacyjną Agencja prowadzi natomiast ze swojej siedziby w Atenach. Personel Agencji liczy 84 osoby, a jej roczny budżet operacyjny wynosi 11,25 mln EUR. Na czele Agencji stoi dyrektor wykonawczy, natomiast za zarządzanie odpowiada zarząd, rada wykonawcza i Stała Grupa Przedstawicieli 1 http://eur-lex.europa.eu/legal-content/pl/txt/?qid=1495472820549&uri=celex%3a32013r0526 2 http://eur-lex.europa.eu/legal-content/pl/txt/?uri=celex:32016l1148 2
Zainteresowanych Stron. Kontakty z państwami członkowskimi ułatwia nieformalna sieć krajowych urzędników łącznikowych. 1.2 CEL SPRAWOZDANIA W art. 32 rozporządzenia w sprawie ENISA zobowiązano Komisję do przeprowadzenia do dnia 20 czerwca 2018 r. oceny ENISA dotyczącej w szczególności wpływu, skuteczności i efektywności Agencji oraz jej metod pracy oraz do rozważenia konieczności przedłużenia obecnego mandatu Agencji. W świetle istotnych zmian, które miały miejsce w dziedzinie bezpieczeństwa cybernetycznego od 2013 r., kiedy to przyjęto obecne rozporządzenie w sprawie ENISA, a także mając na uwadze osiągnięty stopień dojrzałości na poziomie politycznym, rynkowym i technologicznym, w swoim komunikacie z 2016 r. pt. Wzmacnianie europejskiego systemu odporności cybernetycznej oraz wspieranie konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego 3 Komisja zapowiedziała, że przyśpieszy ocenę i przegląd ENISA. W szczególności Komisja zauważyła, że przegląd ENISA stanowić będzie okazję do ewentualnego zwiększenia możliwości i zdolności Agencji w zakresie trwałego wspierania państw członkowskich w osiąganiu przez nie odporności na zagrożenia cybernetyczne. Tę wizję potwierdzono również w konkluzjach Rady z 2016 r. 4, w których przyznano, że zagrożenia i słabości cybernetyczne ciągle ewoluują i wzmagają się, co będzie wymagać stałej i bliższej współpracy, zwłaszcza w obliczu transgranicznych incydentów na dużą skalę dotyczących bezpieczeństwa cybernetycznego. We wspomnianych konkluzjach potwierdzono także, że rozporządzenie w sprawie ENISA jest jednym z głównych elementów unijnych ram odporności cybernetycznej. Wyniki oceny ENISA stanowiły wkład w ocenę skutków towarzyszącą wnioskowi dotyczącemu rozporządzenia w sprawie Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA, agencja UE ds. bezpieczeństwa cybernetycznego ), uchylenia rozporządzenia (UE) nr 526/2013 oraz certyfikacji technologii informacyjnokomunikacyjnych pod względem bezpieczeństwa cybernetycznego ( akt w sprawie bezpieczeństwa cybernetycznego ). Zgodnie z art. 32 rozporządzenia w sprawie ENISA Komisja powinna przekazać sprawozdanie z oceny wraz z jego wnioskami Parlamentowi Europejskiemu, Radzie i zarządowi. Niniejszemu sprawozdaniu podsumowującemu towarzyszy dokument roboczy służb Komisji dotyczący oceny Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (SWD(2017) 502). 3 Komunikat Komisji pt. Wzmacnianie europejskiego systemu odporności cybernetycznej oraz wspieranie konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego, COM(2016) 410 final. 4 Konkluzje Rady w sprawie wzmacniania europejskiego systemu odporności cybernetycznej oraz wspierania konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego z dnia 15 listopada 2016 r. 3
2. GŁÓWNE USTALENIA OCENY Zgodnie z wytycznymi Komisji dotyczącymi lepszego stanowienia prawa 5 w ramach oceny przeanalizowano skuteczność, wydajność, spójność i istotność Agencji oraz związaną z nią wartość dodaną dla UE, z uwzględnieniem wyników Agencji, jej systemu zarządzania, wewnętrznej struktury organizacyjnej i metod pracy. W ramach wspomnianej analizy uwzględniono również zmieniony kontekst, w jakim działa Agencja, mając w szczególności na względzie: nowe unijne ramy regulacyjne i polityczne (np. dyrektywę w sprawie bezpieczeństwa sieci i informacji, przegląd strategii UE w zakresie bezpieczeństwa cybernetycznego), zmieniające się potrzeby społeczności zainteresowanych stron, korzystających ze wsparcia Agencji; oraz komplementarność prac prowadzonych przez inne unijne i krajowe instytucje, agencje i organy, takie jak zespół reagowania na incydenty komputerowe w instytucjach i agencjach UE (CERT-UE) oraz Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3), a także możliwe synergie między wspomnianymi podmiotami. W celu oceny funkcjonowania Agencji: Komisja zleciła przeprowadzenie niezależnego badania, które zrealizowano w okresie od listopada 2016 r. do lipca 2017 r. i które obok wewnętrznej analizy przeprowadzonej przez Komisję stanowi główne źródło oceny; czynności przeprowadzone w ramach badania obejmowały badanie źródeł wtórnych, gromadzenie i analizę danych, w tym badania opinii zainteresowanych stron, pogłębione wywiady z przedstawicielami najważniejszych podmiotów działających w obszarze bezpieczeństwa cybernetycznego, warsztaty z udziałem zainteresowanych stron, analizę porównawczą, pozycjonowanie Agencji, a także analizę mocnych i słabych stron oraz szans i zagrożeń (SWOT); Komisja przeprowadziła również 12-tygodniowe internetowe konsultacje publiczne obejmujące zarówno ocenę ex post ENISA, jak i ocenę przyszłego funkcjonowania tej agencji, a także ukierunkowane konsultacje z najważniejszymi zainteresowanymi stronami. Główne ustalenia dokonane w ramach oceny zgodnie z kryteriami oceny można podsumować w następujący sposób: 1. Istotność: W kontekście rozwoju technologicznego i zmieniających się zagrożeń oraz znaczącej potrzeby zwiększenia bezpieczeństwa sieci i informacji w UE cele Agencji okazały się być istotne. Państwa członkowskie i organy UE faktycznie korzystają ze specjalistycznej wiedzy Agencji na temat rozwoju sytuacji w dziedzinie bezpieczeństwa sieci i informacji, potencjału, jaki państwa członkowskie powinny zbudować, aby być w stanie zrozumieć zagrożenia i na nie reagować, a także konieczności współpracy zainteresowanych stron w różnych obszarach tematycznych i przy zaangażowaniu różnych instytucji. Bezpieczeństwo sieci i informacji jest nadal kluczowym priorytetem politycznym UE, którego realizacji oczekuje się od ENISA; jednakże konstrukcja ENISA jako unijnej agencji o mandacie udzielonym na czas określony: (i) uniemożliwia prowadzenie długoterminowego planowania i zapewnianie trwałego wsparcia państwom członkowskim i instytucjom UE w otoczeniu charakteryzującym się zmieniającym się w szybkim tempie obrazem zagrożeń bezpieczeństwa 5 COM(2015) 215 final, SWD(2015) 111 final; http://ec.europa.eu/smart-regulation/guidelines/docs/swd_br_guidelines_pl.pdf 4
cybernetycznego; (ii) może prowadzić do próżni prawnej, ponieważ przepisy dyrektywy w sprawie bezpieczeństwa sieci i informacji, w których powierzono ENISA określone zadania, obowiązują bezterminowo. 2. Skuteczność: ENISA zasadniczo osiągnęła stawiane przed nią cele i zrealizowała powierzone jej zadania. Przyczyniła się do zwiększenia bezpieczeństwa sieci i informacji w Europie dzięki swojej podstawowej działalności (budowanie potencjału, zapewnienie specjalistycznej wiedzy, budowanie społeczności, wsparcie w procesie kształtowania polityki). W każdym z tych obszarów stwierdzono możliwości usprawnienia funkcjonowania Agencji. Z oceny wynika, że ENISA w skuteczny sposób nawiązała silne i oparte na zaufaniu stosunki z niektórymi zainteresowanymi stronami, zwłaszcza z państwami członkowskimi i społecznością CSIRT. Zaangażowanie Agencji w proces budowy potencjału postrzegano jako skuteczne działanie, zwłaszcza w przypadku państw członkowskich dysponujących mniejszymi zasobami. Pobudzanie szerokiej współpracy było jednym z najbardziej docenianych aspektów działalności Agencji zainteresowane strony zgodnie podkreślały pozytywną rolę, jaką ENISA odgrywała w zacieśnianiu kontaktów. Agencji trudno jednak było wywrzeć znaczny wpływ w rozległej dziedzinie bezpieczeństwa sieci i informacji. Powodem takiego stanu rzeczy były między innymi dosyć ograniczone zasoby ludzkie i finansowe, które musiały wystarczyć na realizację bardzo szeroko określonego mandatu. W wyniku oceny stwierdzono również, że ENISA częściowo osiągnęła cel, jakim było zapewnienie specjalistycznej wiedzy, co miało związek z trudnością w rekrutacji specjalistów (zob. również poniższą sekcję poświęconą wydajności). 3. Wydajność: Pomimo niewielkiego budżetu jednego z najniższych w porównaniu do innych agencji UE Agencja była w stanie przyczynić się do realizacji zakładanych celów, dowodząc ogólnej wydajności pod względem wykorzystania zasobów. W ramach oceny stwierdzono, że funkcjonujące w Agencji procesy były zasadniczo wydajne, a dzięki wyraźnemu podziałowi odpowiedzialności w organizacji realizacja prac przebiegała prawidłowo. Jedno z głównych wyzwań związanych z wydajnością Agencji wiąże się napotykanymi przez ENISA trudnościami w zatrudnieniu i utrzymaniu wysoko wykwalifikowanych specjalistów. Jak ustalono, wyjaśnieniem tej sytuacji może być zbieg szeregu czynników, w tym powszechne problemy sektora publicznego, gdy ten musi konkurować z sektorem prywatnym o wysoko wyspecjalizowanych ekspertów, rodzaje umów (na czas określony), które Agencja jest w stanie zaproponować w większości przypadków, oraz dosyć niski poziom atrakcyjności miejsca, w którym mieści się Agencja, co wiąże się np. z trudnościami w znalezieniu pracy przez współmałżonków osób zatrudnionych w Agencji. Utrzymywanie dzielonej siedziby w Atenach i Heraklionie wymagało dodatkowych działań koordynacyjnych oraz generowało dodatkowe koszty, jednak przeniesienie działu odpowiedzialnego za podstawową działalność operacyjną do Aten w 2013 r. przyczyniło się do wzrostu wydajności operacyjnej Agencji. 4. Spójność: Działalność ENISA była zasadniczo spójna z polityką i działalnością zainteresowanych stron, tak na szczeblu UE, jak i na szczeblu krajowym, choć podejście do bezpieczeństwa cybernetycznego na szczeblu UE wymaga lepszej koordynacji. Nie w pełni wykorzystano możliwości współpracy między ENISA a innymi organami UE. Zmiany unijnego otoczenia prawnego i politycznego 5
sprawiają, że dotychczasowy mandat nie gwarantuje obecnie odpowiedniej spójności. 5. Unijna wartość dodana: Wartość dodana ENISA wiąże się przede wszystkim ze zdolnością Agencji do zacieśnienia współpracy głównie między państwami członkowskimi, lecz również z odnośnymi społecznościami skupiającymi osoby i podmioty zajmujące się bezpieczeństwem sieci i informacji. Na szczeblu UE nie ma innej inicjatywy, która wspierałaby współpracę w zakresie bezpieczeństwa sieci i informacji między zainteresowanymi stronami reprezentującymi równie szeroki krąg podmiotów. Wartość dodana, jaką wniosła Agencja, różniła się w zależności od odmiennych potrzeb i zasobów zainteresowanych stron (np. duże a małe państwa członkowskie, państwa członkowskie a branża) i była uzależniona od priorytetu poszczególnych działań podejmowanych przez Agencję wynikającego z jej programu prac. W ocenie stwierdzono, że ewentualna likwidacja ENISA oznaczałaby dla wszystkich państw członkowskich zmarnowanie szans. Bez zdecentralizowanej agencji UE nie będzie możliwe zapewnienie budowy społeczności w takim samym zakresie we wszystkich państwach członkowskich ani zagwarantowanie tego samego stopnia współpracy między tymi państwami w dziedzinie bezpieczeństwa cybernetycznego. Obraz sytuacji stałby się jeszcze bardziej niespójny, gdyby próżnię po ENISA próbowano wypełnić współpracą dwustronną lub regionalną. 3. WNIOSKI/ZALECENIA W ramach oceny ustalono, że w rozporządzeniu w sprawie ENISA agencji tej powierzono szeroki mandat, który dopuszcza elastyczność, lecz w niektórych przypadkach jest niewystarczająco precyzyjny, co sprawia, że Agencja ma trudności w odgrywaniu znaczącej roli; stwierdzono natomiast, że stawiane Agencji cele okazały się istotne w latach 2013 2016. Agencja była w stanie osiągnąć wysoki poziom wydajności i dowiodła, że działając na szczeblu UE, jest w stanie generować wartość dodaną, zwłaszcza dzięki kluczowym działaniom, takim jak: ogólnoeuropejskie ćwiczenia w dziedzinie bezpieczeństwa cybernetycznego, wsparcie na rzecz społeczności CSIRT, analizy zagrożeń. ENISA przyczyniła się do zwiększenia bezpieczeństwa sieci i informacji w Europie przede wszystkim poprzez wspieranie współpracy między państwami członkowskim i zainteresowanymi stronami z obszaru bezpieczeństwa sieci i informacji, jak również za pośrednictwem swojej działalności ukierunkowanej na budowanie społeczności i potencjału. Agencja osiągnęła te wyniki pomimo szeregu wyzwań omówionych powyżej w niniejszym sprawozdaniu oraz w dołączonym do niego dokumencie roboczym służb Komisji. Jedno z głównych wyzwań wiązało się z ograniczonymi zasobami, które nie odpowiadały szerokiemu mandatowi Agencji, zwłaszcza w obliczu nowych zadań powierzonych Agencji w dyrektywie w sprawie bezpieczeństwa sieci i informacji oraz szybko zmieniającego się charakteru zagrożeń. ENISA pozostaje także jedyną agencją UE, której mandat obowiązuje przez czas określony, pomimo m.in. powierzenia jej zadań wynikających z dyrektywy w sprawie bezpieczeństwa sieci i informacji, jak wspomniano powyżej. Krajobraz zagrożeń bezpieczeństwa cybernetycznego szybko ewoluuje wraz z pojawianiem się nowych zagrożeń, a Europa jest w coraz większym stopniu zależna od infrastruktury cyfrowej i usług cyfrowych ze względu na skomunikowane urządzenia, lecz także wszechobecną już możliwość połączenia się z siecią. Internet rzeczy stwarza 6
nowe szanse związane z efektywnością energetyczną, ochroną środowiska, mobilnością opartą na dostępie do internetu, monitorowaniem stanu zdrowia w czasie rzeczywistym oraz inteligentnymi i płynnie przebiegającymi transakcjami finansowymi w cyfrowej gospodarce i cyfrowym społeczeństwie. Tym nowym szansom biznesowym towarzyszą jednak nowe luki w zabezpieczeniach i nowe możliwości wykorzystania błędów programistycznych, które umożliwiają przejęcie kontroli nad poszczególnymi urządzeniami i zakłócenie przy ich pomocy funkcjonowania jednolitego rynku cyfrowego. Z przeprowadzonej oceny płynie wniosek, że obecny mandat nie zapewnia ENISA narzędzi niezbędnych, aby agencja ta mogła stawić czoła obecnym i przyszłym wyzwaniom w dziedzinie bezpieczeństwa cybernetycznego. Ponadto istnieje coraz większe ryzyko zwiększenia fragmentacji na poziomi UE z powodu liczby podmiotów działających w skali UE w dziedzinie bezpieczeństwa cybernetycznego i niedostatecznej koordynacji między nimi. UE potrzebuje pojedynczego ośrodka potrafiącego reagować na nowe zagrożenia o charakterze horyzontalnym, które wywierają skutki w wielu sektorach przemysłu, oraz będącego w stanie zaspokoić potrzeby społeczności zaangażowanej w zapewnianie bezpieczeństwa cybernetycznego, w szczególności państw członkowskich, instytucji UE i przedsiębiorstw. W ramach oceny zasugerowano konieczność utworzenia agencji UE o konstrukcji międzysektorowej/horyzontalnej, posiadającej silny mandat. Z oceny wynika, że pomimo szeregu stojących przed nią wyzwań ENISA ma znaczny potencjał, aby przyczynić się do zwiększenia bezpieczeństwa cybernetycznego w UE, o ile otrzyma odpowiedni mandat oraz wsparcie w postacie zasobów finansowych i ludzkich. Istnieje również wyraźna potrzeba współpracy i koordynacji między różnymi zainteresowanymi stronami. Tym bardziej pilna staje się zatem potrzeba utworzenia na szczeblu UE jednostki koordynującej, której zadaniem byłoby ułatwianie przepływu informacji, minimalizowanie niedoborów i zapobieganie powielaniu ról i obowiązków. ENISA, jako zdecentralizowana agencja UE oraz neutralny pośrednik, jest w stanie koordynować unijne podejście do zagrożeń cybernetycznych. Dlatego też Komisja przedstawiła wniosek w sprawie reformy ENISA, udzielając tej agencji stałego mandatu, którego podstawę stanowią kluczowe mocne strony, którymi wykazała się Agencja, a także powierzając jej zadania w nowych priorytetowych obszarach działania np. w dziedzinie certyfikacji w zakresie bezpieczeństwa cybernetycznego. Ten nowy mandat powinien odzwierciedlać zmienione realia i przyznać Agencji uprawnienia, dzięki którym będzie ona w stanie odpowiednio wspierać UE w przyszłości. 7