Rada Unii Europejskiej Bruksela, 7 listopada 2016 r. (OR. en) 13967/1/16 REV 1 NOTA DO PUNKTU I/A Od: Do: Sekretariat Generalny Rady Nr poprz. dok.: 11911/3/16 REV 3 Nr dok. Kom.: 11013/16 Dotyczy: Komitet Stałych Przedstawicieli / Rada CYBER 122 COMPET 558 IND 229 RECH 302 TELECOM 213 Projekt konkluzji Rady w sprawie wzmacniania europejskiego systemu odporności cybernetycznej oraz wspierania konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego Przyjęcie 1. W dniu 22 lipca 2016 r. na posiedzeniu Grupy Przyjaciół Prezydencji zajmującej się sprawami cyberprzestrzeni (zwanej dalej grupą ) Komisja przedstawiła komunikat w sprawie wzmacniania europejskiego systemu odporności cybernetycznej oraz wspierania konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego 1. Ma on na celu wspieranie wzrostu w unijnym sektorze bezpieczeństwa cybernetycznego i wzmacnianie współpracy między państwami członkowskimi, zwłaszcza w przypadku poważnego ataku cybernetycznego, przy jednoczesnym maksymalnym wykorzystaniu różnych dostępnych zasobów. 1 Dok. 11013/16. 13967/1/16 REV 1 pas/aga/mk 1 DG D 2B PL
2. Dyskusje, które po prezentacji przygotowanej przez Komisję toczono na podstawie listy głównych przesłań opracowanej przez prezydencję 2, pokazały jasno znaczenie perspektywicznego myślenia nad kwestiami wskazanymi w komunikacie oraz potrzebę politycznego zaangażowania w osiągnięcie celów w nim przedstawionych. 3. W dniu 17 września na posiedzeniu grupy prezydencja przedstawiła pierwszy projekt konkluzji Rady 3, który opierał się na liście głównych przesłań, a także na komentarzach i pisemnych uwagach państw członkowskich. Pierwsza dyskusja pozwoliła na ukształtowanie struktury i ukierunkowanie przesłań przy należytym uwzględnieniu bieżącego procesu wdrażania niedawno przyjętej dyrektywy w sprawie bezpieczeństwa sieci i informacji. 4. Dwie kolejne rundy rozmów, które miały miejsce na posiedzeniach grupy w dniach 7 i 28 października 2016 r., oraz pisemne uwagi delegacji pozwoliły na doprowadzenie do końca negocjacji na szczeblu grupy roboczej i przygotowanie ostatecznego tekstu kompromisowego 4. 5. Na tej podstawie Coreper jest proszony o zwrócenie się do Rady o zatwierdzenie projektu konkluzji Rady w sprawie wzmacniania europejskiego systemu odporności cybernetycznej oraz wspierania konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego, w wersji zawartej w załączniku. 2 3 4 Dok. DS 1373/16. Dok. 11911/16. Dok. 11911/3/16 REV 3. 13967/1/16 REV 1 pas/aga/mk 2 DG D 2B PL
ZAŁĄCZNIK Projekt konkluzji Rady w sprawie wzmacniania europejskiego systemu odporności cybernetycznej oraz wspierania konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego RADA UNII EUROPEJSKIEJ, PRZYWOŁUJĄC: swoje konkluzje w sprawie wspólnego komunikatu Komisji oraz Wysokiego Przedstawiciela Unii Europejskiej do Spraw Zagranicznych i Polityki Bezpieczeństwa pt. Strategia bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń 5 ; ramy polityki UE w zakresie cyberobrony 6 ; swoje konkluzje w sprawie dyplomacji cyfrowej 7 ; komunikat Komisji pt.: Strategia jednolitego rynku cyfrowego dla Europy 8 ; swoje konkluzje w sprawie przeciwdziałania zagrożeniom hybrydowym 9 ; swoje konkluzje w sprawie planu działania na rzecz administracji elektronicznej na lata 2016 2020 10 ; komunikat Komisji w sprawie wzmacniania europejskiego systemu odporności cybernetycznej oraz wspierania konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego 11 ; swoje konkluzje w sprawie globalnej strategii na rzecz polityki zagranicznej i bezpieczeństwa Unii Europejskiej 12 ; 5 6 7 8 9 10 11 Dok. 12109/13. Dok. 15585/14. Dok. 6122/15. COM (2015) 192 final, 6 maja 2015 r. Dok. 7857/16. Dok. 12080/16. COM (2016) 410 final, 5 lipca 2016 r. 13967/1/16 REV 1 pas/aga/mk 3
ODNOTOWUJĄC: wynik konferencji wysokiego szczebla na temat bezpieczeństwa cybernetycznego, która odbyła się w maju 2016 r. w Amsterdamie; wyniki cyklu światowych konferencji na temat cyberprzestrzeni, które odbyły się w Londynie (2011), Budapeszcie (2012), Seulu (2013) i Hadze (2015). UZNAJE, ŻE: 1. państwa członkowskie, Komisja i inne podmioty UE, zgodnie z zasadą pomocniczości, ściśle współpracują nad zwiększeniem europejskiego bezpieczeństwa cybernetycznego i odporności cybernetycznej na szczeblu unijnym i krajowym, zwłaszcza od czasu przyjęcia strategii UE w zakresie bezpieczeństwa cybernetycznego, oraz że nieodzowna jest dalsza współpraca na rzecz ochrony UE przed zagrożeniami cybernetycznymi przy zachowaniu kompleksowego i spójnego podejścia do bezpieczeństwa cybernetycznego; 2. zagrożenia i słabości cybernetyczne ciągle ewoluują i wzmagają się, co będzie wymagać stałej i bliższej współpracy, zwłaszcza w obliczu transgranicznych incydentów na dużą skalę dotyczących bezpieczeństwa cybernetycznego; 3. bezpieczeństwo cybernetyczne jest kluczowym czynnikiem umożliwiającym właściwe funkcjonowanie jednolitego rynku cyfrowego, ponieważ incydenty dotyczące bezpieczeństwa cybernetycznego mogą nie tylko powodować poważne zakłócenia we współczesnym społeczeństwie i poważne szkody gospodarcze dla europejskich przedsiębiorstw, ale także mogą podważyć zaufanie obywateli i przedsiębiorstw do społeczeństwa cyfrowego i wywołać niechęć do używania technologii cyfrowych; 12 Dok. 13202/16. 13967/1/16 REV 1 pas/aga/mk 4
4. niedawno przyjęta dyrektywa w sprawie bezpieczeństwa sieci i informacji 13, która określa nowe mechanizmy współpracy, oraz strategia UE w zakresie bezpieczeństwa cybernetycznego (która ma być w odpowiednim terminie odnowiona), a także rola rozporządzenia w sprawie ENISA (które wkrótce ma zostać poddane przeglądowi) stanowią główne elementy unijnych ram odporności cybernetycznej; w tych ramach należy skutecznie zająć się kwestią bezpieczeństwa cybernetycznego państw członkowskich i podmiotów UE; 5. adekwatne umiejętności w zakresie bezpieczeństwa cybernetycznego zdobywane w ramach kształcenia i szkolenia, związane zarówno z zapobieganiem incydentom dotyczącym bezpieczeństwa cybernetycznego, jak i zajmowaniem się ich skutkami i ich łagodzeniem, należą do kluczowych aspektów osiągania odporności w zakresie bezpieczeństwa cybernetycznego, przy wspieraniu współpracy między państwami członkowskimi, Komisją, ESDZ, ENISA, Europolem, Eurojustem, EDA, a także NATO, w stosownych przypadkach; 6. zarówno strategiczna i operacyjna współpraca, jak i wymiana informacji między sektorami w państwach członkowskich oraz ponad granicami w UE mają krytyczne znaczenie dla utrzymania bezpieczeństwa cybernetycznego oraz zapobiegania incydentom dotyczącym bezpieczeństwa cybernetycznego i łagodzenia ich skutków. Taka współpraca pomaga nie tylko zwiększyć gotowość i odporność, ale także lepiej zrozumieć współzależności, np. poprzez realizację europejskiego programu ochrony infrastruktury krytycznej; 7. ocena wielkości wspólnego ryzyka oraz skutków incydentów na dużą skalę dotyczących bezpieczeństwa cybernetycznego zależy od stopnia transgranicznej i międzysektorowej współzależności, zarówno w sektorze publicznym, jak i prywatnym; 8. ważne jest, aby zapewnić odpowiednią zdolność finansowania, aby wspierać MŚP i przedsiębiorstwa typu start-up w obszarze bezpieczeństwa cybernetycznego, w szczególności ich dostęp do finansowania i inwestycji, zwłaszcza w ich wczesnych fazach rozwoju; 9. wartością dodaną ustanowienia umownego partnerstwa publiczno-prywatnego w zakresie bezpieczeństwa cybernetycznego w ramach programu Horyzont 2020 jest stymulowanie konkurencyjności i innowacyjności europejskiej branży bezpieczeństwa cybernetycznego; 13 Dyrektywa (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194 z 19.7.2016, s. 1). 13967/1/16 REV 1 pas/aga/mk 5
10. dynamiczny rozwój technologiczny w domenie cyfrowej przekładający się na dużą skalę różnych produktów, usług i rozwiązań ICT jest źródłem nie tylko nowych wyzwań społecznych i gospodarczych, ale także nowych wyzwań w zakresie bezpieczeństwa, zwłaszcza w odniesieniu do danych, co powinno być bardziej odzwierciedlane i propagowane w ramach jednolitego rynku cyfrowego; 11. cyberkradzież tajemnic handlowych ma potencjalnie szkodliwy wpływ na zdolność europejskiego przemysłu do wprowadzania innowacji i konkurowania, a jej skutki wymagają dalszej analizy; 12. państwa członkowskie mają wspólny cel polegający na przyczynianiu się do strategicznej niezależności Europy, zgodnie z konkluzjami Rady w sprawie globalnej strategii Unii Europejskiej w zakresie polityki zagranicznej i polityki bezpieczeństwa, a także w cyberprzestrzeni; PODKREŚLA, ŻE: 13. każde państwo członkowskie pozostaje odpowiedzialne za podejmowanie niezbędnych środków w celu zapewnienia ochrony podstawowych interesów jego bezpieczeństwa w pełnym poszanowaniu Traktatów; 14. państwa członkowskie powinny na zasadzie priorytetu dokonać transpozycji dyrektywy w sprawie bezpieczeństwa sieci i informacji do ich krajowych ram ustawodawczych, odzwierciedlając skutecznie właśnie ustanowioną grupę współpracy i sieć CSIRT, co miałoby pozytywny wpływ na wzmocnienie odporności cybernetycznej i bezpieczeństwa cybernetycznego oraz na radzenie sobie z incydentami na dużą skalę; 15. wzmocnienie bezpieczeństwa sieci i informacji podmiotów unijnych powinno być uznane jako część priorytetu dotyczącego wzmocnienia bezpieczeństwa cybernetycznego w całej UE; 16. budowanie zdolności cyfrowych i środki budowy zaufania są niezbędne do zapobiegania incydentom dotyczącym bezpieczeństwa cybernetycznego i ograniczania ich ryzyka oraz do tworzenia zaufania do jednolitego rynku cyfrowego; 13967/1/16 REV 1 pas/aga/mk 6
17. stosowanie narzędzi o charakterze dyplomatycznym, prawnym i technicznym oraz wzmacnianie współpracy na szczeblu unijnym i krajowym jest potrzebne do udanego reagowania na incydenty dotyczące bezpieczeństwa cybernetycznego, w tym represyjne działania cybernetyczne, oraz walki z cyberprzestępczością; 18. UE musi w pełni dostosować podejścia oparte na uwzględnianiu bezpieczeństwa i prywatności na etapie projektowania, aby rozwijać, dostarczać i wykorzystywać skuteczne, przystępne cenowo i interoperacyjne produkty i usługi wysokiej jakości w zakresie bezpieczeństwa cybernetycznego, a także podjąć działania mające na celu osiągnięcie dla nich bardziej zintegrowanego i globalnego rynku; 19. wspieranie dialogu z przemysłem na temat bezpieczeństwa cybernetycznego mogłoby pomóc w identyfikacji luk w certyfikacji bezpieczeństwa cybernetycznego i mechanizmach walidacyjnych, a także w systemach oznakowania, które powinny uwzględniać międzynarodowo uznane normy i zasady; 20. niezbędna jest spójność między odpowiednimi działaniami a unijnymi politykami, instrumentami i programami finansowymi z myślą o skutecznym wdrażaniu europejskich systemów odporności cybernetycznej; 21. umowne partnerstwa publiczno-prywatne w zakresie bezpieczeństwa cybernetycznego powinny pozostać otwarte dla przedsiębiorstw wchodzących na rynek, warunki przystąpienia do nich powinny pozostać przejrzyste, a informacje dotyczące tych warunków powinny być łatwo dostępne. 13967/1/16 REV 1 pas/aga/mk 7
WZYWA KOMISJĘ, ABY: 22. zrealizowała cele określone w komunikacie w sprawie wzmocnienia europejskiej odporności cybernetycznej, w szczególności poprzez: a) przedłożenie projektu współpracy w celu reagowania na cyberincydenty na dużą skalę na poziomie UE do rozważenia przez podmioty działające na podstawie dyrektywy w sprawie bezpieczeństwa sieci i informacji oraz inne zainteresowane podmioty, zwłaszcza ENISA, w pierwszej połowie 2017 r. przy uwzględnieniu uzupełniającej funkcji tego projektu; b) sfinalizowanie oceny ENISA najpóźniej do końca 2017 r. oraz zaproponowanie wszelkich aspektów związanych z odnowieniem mandatu ENISA (w tym jego rozszerzenia, tak aby objąć nim zadania przewidziane w dyrektywie w sprawie bezpieczeństwa sieci i informacji) jak najszybciej; c) ustanowienie w ścisłej współpracy z państwami członkowskimi, ESDZ, Europolem, Eurojustem, ENISA, EDA i innymi stosownymi podmiotami UE platformy szkoleniowej w zakresie bezpieczeństwa cybernetycznego; d) przeanalizowanie niezbędnych warunków prawnych i organizacyjnych, tak aby umożliwić państwom członkowskim prowadzenie regularnych kontroli słabości publicznie dostępnej infrastruktury sieciowej; e) zbadanie możliwości utworzenia systemu certyfikacji bezpieczeństwa cybernetycznego i systemu oznakowania przy jednoczesnym uwzględnieniu istniejących skutecznych systemów bezpieczeństwa, w stosownych przypadkach, z myślą o zaproponowaniu środków, w tym środków ustawodawczych, w celu zaradzenia tym wyzwaniom do 2017 r.; f) podnoszenie świadomości w społeczności zajmującej się bezpieczeństwem cybernetycznym na temat istniejących mechanizmów finansowania oraz wspieranie wykorzystania unijnych narzędzi i instrumentów na rzecz wspierania innowacyjnych MŚP; g) zbadanie sposobów ułatwiania dostępu do finansowania i inwestycji (np. za pośrednictwem specjalnej inwestycyjnej platformy bezpieczeństwa cybernetycznego) dla MŚP i przedsiębiorstw typu start-up, zwłaszcza w ich wczesnej fazie rozwoju; h) w stosownych przypadkach, ocenę obecnego funkcjonowania europejskich ośrodków wymiany i analizy informacji oraz prace nad propozycjami dalszego wzmacniania tych struktur, wraz z państwami członkowskimi i, stosownie do przypadku, istniejącymi krajowymi ośrodkami wymiany i analizy informacji; i) propagowanie stosowania podejścia opartego na uwzględnianiu bezpieczeństwa na etapie projektowania w dużych inwestycjach w infrastrukturę, które zawierają element cyfrowy i są współfinansowane z funduszy unijnych; 13967/1/16 REV 1 pas/aga/mk 8
23. prowadziła z państwami członkowskimi konsultacje przed ustanowieniem jakichkolwiek nowych mechanizmów i struktur (np. takich jak węzeł informacyjny lub grupa doradcza wysokiego szczebla) lub przed wprowadzeniem nowych instrumentów (np. projektu współpracy), związanych z bezpieczeństwem cybernetycznym, ich uzupełniającą rolą, celami i danymi zadaniami; 24. corocznie przedkładała Radzie pisemne sprawozdania z poczynionych postępów. ZWRACA SIĘ DO PAŃSTW CZŁONKOWSKICH, ABY: 25. w pełni uruchomiły mechanizmy współpracy w zakresie bezpieczeństwa cybernetycznego i wzmocniły współpracę transgraniczną w odniesieniu do gotowości do zapobiegania incydentom na dużą skalę dotyczącym bezpieczeństwa cybernetycznego zgodnie z zasadami i przepisami uzgodnionymi w ramach dyrektywy w sprawie bezpieczeństwa sieci i informacji; 26. aktywnie uczestniczyły w umownych partnerstwach publiczno-prywatnych dotyczących bezpieczeństwa cybernetycznego na rzecz wzmocnienia konkurencyjności, badań naukowych i innowacyjności przemysłu europejskiego; 27. współpracowały z Komisją nad stworzeniem otwartych ram europejskich przy uwzględnieniu rozwoju globalnych ram certyfikacji produktów i usług w zakresie bezpieczeństwa cybernetycznego, zgodnie z normami międzynarodowymi i w oparciu o zaangażowanie ekspertów, które objęłoby szeroki zakres systemów i rozwiązań ICT na każdym poziomie bezpieczeństwa oraz które miałoby zastosowanie we wszystkich państwach członkowskich w celu budowania prawdziwego i bezpiecznego jednolitego rynku cyfrowego, dzięki czemu Europa stanie się liderem w światowej normalizacji; 28. współpracowały z Komisją i innymi zainteresowanymi stronami na rzecz realizacji strategicznych celów zawartych w niniejszych konkluzjach. 13967/1/16 REV 1 pas/aga/mk 9
ZWRACA SIĘ DO ZAINTERESOWANYCH PODMIOTÓW, ABY: 29. przyjęły najlepsze praktyki w dziedzinie bezpieczeństwa cybernetycznego, wspierały zwiększanie świadomości, podnoszenie umiejętności i ulepszyły szkolenia w obszarze bezpieczeństwa cybernetycznego; 30. rozważyły zwiększenie inwestycji na rynku wysokiej jakości produktów i usług w zakresie bezpieczeństwa cybernetycznego przy pogłębieniu współpracy z władzami publicznymi, w tym krajowymi zespołami reagowania na incydenty komputerowe, stosownie do przypadku; 31. jak najlepiej wykorzystały umowne partnerstwa publiczno-prywatne w zakresie bezpieczeństwa cybernetycznego oraz europejskie ośrodki wymiany i analizy informacji, tak aby wspierać współpracę przemysłową, zwłaszcza w obszarze badań i innowacji, normalizacji, certyfikacji, oznakowania, wspólnych inwestycji i konsolidacji przemysłowej; 32. proaktywnie przyczyniały się do realizacji celów strategicznych zawartych w niniejszych konkluzjach, tak aby wzmocnić odporność europejskiego przemysłu; 33. skupiły się na szerszym wykorzystywaniu rozwiązań w zakresie bezpieczeństwa cybernetycznego we wszystkich sektorach i przez wszystkich użytkowników. 13967/1/16 REV 1 pas/aga/mk 10