ConseilUE RADA UNIEUROPEJSKIEJ Bruksela,22maja2014r.(28.05) (OR.en) Międzyinstytucjonalnynumer referencyjny: 2013/0027(COD) PUBLIC 10097/14 LIMITE TELECOM118 DATAPROTECT77 CYBER31 MI446 CSC111 CODEC1338 NOTA Od: Prezydencja Do: Delegacje NrwnioskuKom.: 6342/13TELECOM24DATAPROTECT14CYBER2 MI104CODEC313 +ADD1+ADD2 Nrpoprz.dok.: 9757/14TELECOM111DATAPROTECT69CYBER27 MI419CSC103 CODEC1264 Dotyczy: WniosekdotyczącydyrektywyParlamentuEuropejskiego iradywsprawie środkówmającychnaceluzapewnieniewspólnegowysokiegopoziomu bezpieczeństwasieciiinformacjiwobrębieuni Sprawozdaniezpostępuprac Niniejszesprawozdaniezostałoprzygotowaneprzezprezydencjęgrecką.Przedstawiaonopostępy pracprzeprowadzonychprzezorganyprzygotowawczeradyorazwynikidotychczasowejanalizy wyżejwymienionegowniosku,atakżezawierawskazówkiipodejściamającenaceluprzygotowanie wstosownymczasiezmienionegotekstuwnioskuoraznegocjacjezpe. 10097/14 krk/ap/mak 1 DGE2B
ASPEKTY PROCEDURALNE 1. W dniu 12 lutego 2013 r. Komisja przedłożyła wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii (zwanej dalej dyrektywą w sprawie bezpieczeństwa sieci i informacji), której podstawą prawną jest art. 114 TFUE. 1 Wniosek ten jest elementem Strategii bezpieczeństwa cybernetycznego Unii Europejskiej pt. Otwarta, bezpieczna i chroniona cyberprzestrzeń 2, w odniesieniu do której Rada w dniu 25 czerwca 2013 r. przyjęła konkluzje 3. W dniu 6 czerwca 4 i 5 grudnia 2013 r. 5 Rada ds. TTE zapoznała się z postępami w analizie wniosku dotyczącego przedmiotowej dyrektywy. 2. Europejski Komitet Ekonomiczno-Społeczny 6 i Komitet Regionów 7 przyjęły opinie w sprawie wniosku odpowiednio w dniu 22 maja i 3 4 lipca 2013 r. Parlament Europejski przyjął w pierwszym czytaniu w dniu 13 marca 2014 r. rezolucję ustawodawczą oraz 138 poprawek opracowanych przez Komisję Rynku Wewnętrznego (IMCO) jako komisję prowadzącą; komisjami pomocniczymi są Komisja Przemysłu (ITRE) oraz Komisja Wolności Obywatelskich (LIBE). 8 1 2 3 4 5 6 7 8 Dok. 6342/13. Dok. 6225/13. Dok. 11357/13. Dok. 10076/13 i dok. 10457/13. Dok. 16630/13 i dok. 17341/13. Dok. TEN/513. 2013/C 280/05. Dok. 7451/14. 10097/14 krk/ap/mak 2
3. Podczas prezydencji greckiej Grupa Robocza ds. Telekomunikacji i Społeczeństwa Informacyjnego (WP TELE) przeanalizowała poszczególne artykuły wniosku na 6 posiedzeniach 9. Na podstawie dyskusji na forum WP TELE, prowadzonych na podstawie dokumentów przygotowanych przez prezydencję 10 oraz uwag złożonych w formie pisemnej przez większość państw członkowskich, prezydencja grecka sporządziła niniejsze sprawozdanie z postępu prac, które przedstawia najważniejsze punkty wniosku i, w miarę możliwości, wskazuje, gdzie państwa członkowskie są co do zasady zgodne co do dalszego podejścia. Wraz z niniejszym sprawozdaniem z postępu prac i w celach informacyjnych prezydencja sporządziła pierwszą zmienioną wersję tekstu wniosku 11, która została przedłożona WP TELE w dniu 26 maja i na podstawie której można będzie prowadzić dalsze prace podczas prezydencji włoskiej, mając na uwadze zaangażowanie PE w stosownym czasie. 4. Pojawiły się wątpliwości, czy proponowana podstawa prawna (art. 114 TFUE) jest wystarczająca dla całego wniosku, zważywszy na jego cel, zakres stosowania i treść. W tym względzie niezbędne są dalsze przemyślenia i dyskusje. Służba Prawna Rady wyda pisemną opinię na ten temat. TREŚĆ Rozdział 1: przepisy ogólne (art. 1 3): 5. Ogólnie rzecz biorąc, delegacje popierają przedmiot i zakres zastosowania art. 1 ( przedmiot ) i są zdania, że proponowana dyrektywa stanowiłaby zasadniczą część ogólnounijnej strategii bezpieczeństwa cybernetycznego. Prezydencja jest przekonana, że większość państw członkowskich byłaby w stanie poprzeć pewne doprecyzowanie art. 1 zgodnie z następującymi uwagami: W ust. 1 wyraz zapewnienia należy zastąpić wyrazem osiągnięcia lub ułatwienia, aby odzwierciedlić fakt, że państwa członkowskie ani indywidualnie, ani zbiorowo nie są w stanie zapewnić całkowitego bezpieczeństwa sieci i informacji. 9 10 11 W dniach 27 lutego, 13 i 28 marca, 10 i 28 kwietnia oraz 21 maja 2014 r. Dok. 7404/14. Dok. 10061/14. 10097/14 krk/ap/mak 3
W ust. 2 lit. b) należałoby się oprzeć na istniejących uzgodnieniach, by zgrupować państwa członkowskie w celu wdrożenia dyrektywy na poziomie strategicznym/politycznym, nie zaś tworzyć nowy mechanizm współpracy między nimi. Należy przeanalizować możliwości bardziej konkretnej współpracy operacyjnej ewentualnie na zasadzie dobrowolności np. w kontekście zespołów CERT 12 lub właściwych organów. Państwo członkowskie, w którym wystąpił incydent, lub jego CERT powinny zadecydować czy i w jakim zakresie należy udostępniać stosowne informacje (i ewentualnie dane osobowe) z uwzględnieniem bezpieczeństwa narodowego oraz stosownego prawodawstwa, zwłaszcza odnoszącego się do ochrony danych osobowych lub ataków na systemy informatyczne. W odniesieniu do potrzeby prawnego wyjaśnienia, o której mowa w pkt 4 powyżej, kolejną kwestią, którą należy rozwiązać jest to, czy i w jakim stopniu do zakresu stosowania wniosku (zwłaszcza art. 14) należy włączyć administrację publiczną lub czy należy ją z niego wyłączyć. 6. Delegacje generalnie popierają art. 2 ( minimalna harmonizacja ). 7. W odniesieniu do definicji w art. 3, choć prezydencja zdaje sobie sprawę z tego, że na dalszym etapie prac będą one wymagały przeglądu, jest przekonana, że delegacje generalnie popierają następujące podejście: Do wykazu definicji należy dodać nową definicję usług podstawowych, co umożliwiłoby dokładniejsze określenie, które podmioty świadczą takie usługi oraz ocenę ryzyka lub zagrożenia dla bezpieczeństwa i ciągłości takich usług. Dyrektywa powinna odnosić się do wykazu wspólnych sektorów infrastruktury krytycznej oraz ustalić kryteria umożliwiające określenie, które podmioty tworzą te infrastruktury. Muszą się bardziej skonkretyzować opinie państw członkowskich co do poziomu szczegółowości dyrektywy (a zwłaszcza ZAŁĄCZNIKA II), np. czy i w jakim stopniu usługi społeczeństwa informacyjnego i podmioty umożliwiające świadczenie usług internetowych również powinny zostać objęte zakresem stosowania dyrektywy. Należy głębiej rozważyć potrzebę dodania dodatkowych definicji, takich jak definicja usług informatycznych o kluczowym znaczeniu, krajowego planu zarządzania ryzykiem, strategii w zakresie bezpieczeństwa sieci i informacji oraz planu współpracy. 12 CERT oznacza zespół reagowania na incydenty komputerowe. Zaznaczono, że ze względu na to, iż CERT to zarejestrowany unijny znak towarowy, może być konieczne zastosowanie w dyrektywie innej terminologii, np. zespół reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRT). 10097/14 krk/ap/mak 4
Rozdział II: ramy krajowe w zakresie bezpieczeństwa sieci i informacji (art. 4 7) 8. Delegacje generalnie popierają skreślenie art. 4 ( zasada ). 9. W odniesieniu do art. 5 ( krajowa strategia w zakresie bezpieczeństwa sieci i informacji ) prezydencja stwierdziła szerokie poparcie dla następującego podejścia: Chociaż opracowanie krajowej strategii w zakresie bezpieczeństwa sieci i informacji, w tym planu współpracy, co do zasady cieszy się poparciem, sformułowanie tego artykułu powinno kłaść raczej większy nacisk na uwzględniające przyszłe potrzeby ogólne zasady niż na szczegółowe wymogi dotyczące krajowej strategii i planu współpracy, gdyż takie podejście najbardziej przyczyniłoby się do budowy zaufania. 10. W odniesieniu do art. 6 ( właściwy organ ) i mając na uwadze zasadę pomocniczości, wydaje się, że delegacje popierają podejście, które należycie uwzględniłoby istniejące w poszczególnych państwach członkowskich praktyki: Dyrektywa powinna zapewnić państwom członkowskim wystarczającą elastyczność w wyznaczaniu lub utrzymaniu jednego lub kliku właściwych organów specyficznych dla poszczególnych sektorów i zgodnych z kierunkami polityki. Każde państwo członkowskie powinno jednak wyznaczyć jeden punkt kontaktowy, którego zadania należy zdefiniować na późniejszym etapie. 11. W odniesieniu do art. 7 ( zespół reagowania na incydenty komputerowe ) państwa członkowskie generalnie popierają zawarcie w dyrektywie wymogu ustanowienia lub utrzymania co najmniej jednego CERT, który może być tą samą jednostką co właściwy organ lub jeden punkt kontaktowy i zgadzają się z proponowanymi wskazówkami odnoszącymi się do CERT zawartymi w dok. 7404/14, a w szczególności z następującą wskazówką: Państwom członkowskim należy umożliwić wystarczającą elastyczność co do układu technicznego oraz zasobów finansowych i ludzkich CERT, co należy odzwierciedlić w sformułowaniu tego artykułu i ZAŁĄCZNIKA I; dyrektywa powinna jednak niezmiennie dążyć do osiągnięcia pewnego poziomu ambicji i wymagań dotyczących zespołów CERT oraz współpracy między nimi. 10097/14 krk/ap/mak 5
Rozdział III: współpraca (art. 8 13) 12. Rozdział III wniosku określa strukturę współpracy w zakresie bezpieczeństwa sieci i informacji. Zdaniem prezydencji wszystkie państwa członkowskie przyznają, że podobne podwyższone poziomy gotowości w całej Unii można by osiągnąć dzięki jakiemuś rodzajowi współpracy, która w razie potrzeby i w stosownej dziedzinie mogłaby ewentualnie przyczynić się do ułatwienia także wspólnej i skoordynowanej reakcji na wyzwania w zakresie bezpieczeństwa sieci i informacji. Należy jednak skonkretyzować poglądy na to, jak taka sieć współpracy strategicznej/politycznej miałaby wyglądać oraz jak daleko miałby sięgać jej wpływ na zapewnianie skoordynowanej reakcji operacyjnej w przypadku krajowych, a ewentualnie także transgranicznych, incydentów cybernetycznych. 13. W odniesieniu do art. 8 ( sieć współpracy ) prezydencja jest przekonana, że delegacje generalnie popierają następujące podejście: Dyrektywa powinna określić podejście polityczne/strategiczne w odniesieniu do sieci (lub grupy ) współpracy, która z jednej strony oparta jest na zdolnościach, które mają być rozwijane na mocy rozdziału II, a z drugiej strony i w stosownych przypadkach udziela wskazówek dotyczących opracowania szczegółowych sposobów współpracy operacyjnej w stosownych instancjach. W przypadku sytuacji nadzwyczajnej za ukierunkowanie reakcji odpowiadają organy krajowe, takie jak zespoły CERT lub właściwe organy oraz o ile to konieczne w przypadkach (transgranicznych), które zostaną doprecyzowane mogłaby mieć miejsce dalsza dobrowolna współpraca w ramach społeczności współpracy operacyjnej składającej się ze wszystkich 28 krajowych zespołów CERT, ewentualnie ułatwiająca skoordynowaną reakcję UE. Wzajemna weryfikacja zdolności i gotowości w ramach sieci współpracy powinna być dobrowolna. 14. W odniesieniu do art. 9 ( bezpieczny system wymiany informacji ) prezydencja odnotowała niewielkie poparcie ze strony państw członkowskich dla ustalania w dyrektywie obowiązkowych wymogów odnoszących się do udostępniania informacji (wrażliwych lub poufnych z handlowego punktu widzenia) w sieci współpracy, dla ustanowienia lub zastosowania dedykowanej bezpiecznej infrastruktury, a także jeżeli chodzi o proponowaną rolę Komisji w tym kontekście. Uwzględniwszy powyższe, prezydencja jest przekonana, że należy przeformułować ten artykuł zgodnie z następującymi wskazówkami: Dyrektywa nie powinna zawierać żadnych obowiązkowych wymogów dotyczących udostępniania informacji, a tekst art. 9 powinien to odzwierciedlać lub alternatywnie artykuł należy skreślić, biorąc pod uwagę to, że informacje nieuznawane za wrażliwe lub poufne mogłyby być udostępniane w ramach sieci współpracy lub stosowne informacje mogłyby być wymieniane przez zespoły CERT lub właściwe organy. 10097/14 krk/ap/mak 6
15. W odniesieniu do art. 10 ( wczesne ostrzeżenia ) wydaje się, że delegacje zasadniczo są w stanie poprzeć ogólne kierunki wytyczone w dok. 7404/14, a zwłaszcza: Przekazywanie wczesnych ostrzeżeń powinno pozostać dobrowolne, a wymiana stosownych informacji w ramach sieci współpracy powinna przede wszystkim wspomagać budowę zaufania między sektorem prywatnym a właściwymi organami krajowymi oraz między samymi tymi organami. Ze względu na to, że wymiana informacji o przestępstwach dotyczących ataków na systemy informatyczne jest objęta dyrektywą 2013/40, nie ma potrzeby, by omawiana dyrektywa zajmowała się tym aspektem (oznacza to skreślenie ust. 4). Państwa członkowskie powinny zadecydować czy i jakie informacje udostępnić w ramach sieci koordynacji (oznacza to skreślenie ust. 5). Wczesne ostrzeżenia nie powinny utrudniać lub opóźniać krajowych działań podejmowanych w odpowiedzi na zagrożenia i incydenty. 16. Również w odniesieniu do art. 11 ( skoordynowana reakcja ) prezydencja odnotowała szerokie poparcie dla wskazówek zawartych w dok. 7404/14, a zwłaszcza dla następującej wskazówki: Bardziej niż stworzenie de facto kompetencji unijnej w dziedzinie koordynacji reakcji UE na (krajowe) incydenty, potrzebna jest dalsza dyskusja w celu wyjaśnienia czy, kiedy i w jakich przypadkach konieczna będzie skoordynowana reakcja UE : w przypadku istotnych transgranicznych kryzysów cybernetycznych czy także w przypadku codziennych incydentów o ograniczonym zasięgu? Mając na uwadze kompetencje krajowe w zakresie bezpieczeństwa, dyrektywa by osiągnąć koordynację polityczną na poziomie UE w przypadku istotnych transgranicznych kryzysów cybernetycznych powinna opierać się na istniejących ustaleniach, nie zaś na uruchamianiu nowych i potencjalnie powolnych mechanizmów. Poza koordynacją polityczną na poziomie UE dyrektywa powinna ułatwiać współpracę techniczną/praktyczną (np. między zespołami CERT), w ramach której mogłyby zostać opracowane dalsze wymogi dotyczące reakcji operacyjnej na kryzysy cybernetyczne. 17. Prezydencja odnotowuje, że choć ostateczne stanowisko państw członkowskich co do art. 12 ( unijny plan współpracy w zakresie bezpieczeństwa sieci i informacji ) jest uzależnione od wyników dyskusji nad art. 8 11, większość delegacji byłaby w stanie poprzeć zastosowanie do tekstu wniosku następującego podejścia: Dyrektywa mogłaby ustanowić raczej unijne ramy współpracy w zakresie bezpieczeństwa sieci i informacji niż plan, który skupia się na koordynacji i rozwoju polityki, w pełni wykorzystuje stosowną wiedzę fachową ENISA i będzie poddawany regularnym przeglądom przez sieć współpracy ustanowioną na mocy art. 8. 10097/14 krk/ap/mak 7
Ramy współpracy powinny objąć takie kwestie jak opcje komunikacji między zespołami CERT, wymiana najlepszych praktyk oraz działania informacyjne, ćwiczenia i szkolenia, a także wykorzystywać wiedzę fachową ENISA w tym zakresie. 18. W odniesieniu do art. 13 ( współpraca międzynarodowa ) prezydencja odnotowała, że państwa członkowskie pragnęłyby odzwierciedlenia tego, że wszyscy członkowie ram współpracy powinni wyrazić zgodę na udział państw trzecich lub organizacji międzynarodowych w tych ramach. Rozdział IV: bezpieczeństwo sieci (art. 14 16), rozdział V: przepisy końcowe (art. 17 23) oraz załączniki I i II: Zespoły CERT i podmioty gospodarcze 19. W odniesieniu do art. 14 ( wymogi w zakresie bezpieczeństwa i zgłaszanie incydentów ) prezydencja odnotowała, że te państwa członkowskie, w których krajowa praktyka dobrowolnego powiadamiania doprowadziła do satysfakcjonującej współpracy między zainteresowanymi stronami a organami publicznymi, wolałyby, by dyrektywa została oparta na tych doświadczeniach. Inne państwa członkowskie zastanawiają się, czy w dodatku do powyższego należałoby wprowadzić wymogi obowiązkowego powiadamiania. Wszystkie państwa członkowskie zgadzają się, że konieczne są dalsze wyjaśnienia różnych wymogów dotyczących powiadamiania zawartych w różnych unijnych aktach prawnych. W związku z tym prezydencja zaleca głębsze rozważenie następującego podejścia: Dyrektywa mogłaby ustanowić obowiązkowe wymogi dotyczące powiadamiania w przypadku incydentów o istotnych transgranicznych skutkach dotykających kilka państw członkowskich. W przypadku incydentów wewnętrznych o ograniczonych skutkach państwom członkowskim należy umożliwić samodzielne podejmowanie decyzji, zgodnie z art. 2, czy i w jaki sposób zgłaszać takie incydenty na poziomie krajowym. Dyrektywa powinna określić parametry pozwalające ustalić skutki incydentów (ograniczonych do danego sektora), ale to państwa członkowskie na podstawie tych parametrów miałyby decydować, czy dany incydent powinien zostać zgłoszony. Państwom członkowskim należy zapewnić elastyczność co do sposobów powiadamiania organów właściwych dla danego sektora lub krajowego punktu kontaktowego. 10097/14 krk/ap/mak 8
20. W odniesieniu do art. 15 ( wdrażanie i egzekwowanie ) i w oparciu o opinie delegacji prezydencja proponuje następujące podejście: Dyrektywa powinna zapewniać wystarczające pole manewru dla rozwiązań krajowych, by móc zaangażować sektor prywatny w stopniu wyższym, niż obecnie proponowany, np. w zakresie audytów bezpieczeństwa, rozwoju zdolności technicznych, szkoleń itd. Dyrektywa ta powinna również umożliwić, w stosownych przypadkach, istnienie wielu organów właściwych dla konkretnych sektorów, które to organy byłyby także odpowiedzialne za realizację i egzekwowanie obowiązków. 21. W odniesieniu do kwestii normalizacji na mocy art. 16 prezydencja uznała, że należy głębiej rozważyć potrzebę przeredagowania tego artykułu. 22. W odniesieniu do art. 17 ( sankcje ), a w szczególności ust. 2, należy poddać go dalszemu opracowaniu, by lepiej wyjaśnić związek między dyrektywą w sprawie bezpieczeństwa sieci i informacji a przygotowywanym rozporządzeniem o ochronie danych. 23. Prezydencja odnotowała również, że delegacje pragną powrócić na dalszym etapie prac do kwestii okresu transpozycji i wejścia w życie (art. 21 i 22), natomiast finalizacja ZAŁĄCZNIKA I w odniesieniu do zakresu wymogów i zadań zespołów CERT oraz ZAŁĄCZNIKA II w odniesieniu do sektorów i podmiotów, które mają się znaleźć w wyczerpującym lub orientacyjnym wykazie, będzie musiała zostać poddana przeglądowi w późniejszym terminie, w zależności od wyniku negocjacji dotyczących treści artykułów wniosku. PODSUMOWANIE 24. Prezydencja grecka odnotowała, że wszystkie państwa członkowskie bez wyjątku są świadome pilnej potrzeby poprawy bezpieczeństwa sieci i informacji oraz podjęcia w tym celu działań na poziomie Unii. W związku z tym państwa członkowskie przywiązały ogromną wagę do analizy wniosku Komisji i, jak przedstawiono powyżej, w ostatnich miesiącach osiągnięto znaczące postępy w określaniu kierunku dalszego rozwoju tego wniosku. 10097/14 krk/ap/mak 9
25. W odniesieniu do przepisów związanych z rozdziałami I, II i IV oraz na podstawie dyskusji na forum organów przygotowawczych Rady prezydencja uznała, że wskazówki i sposoby podejścia zaproponowane w niniejszym sprawozdaniu z postępu prac powinny stanowić wystarczającą podstawę dla dalszych prac nad wnioskiem podczas nadchodzącej prezydencji włoskiej. Te wskazówki i podejścia zostały opracowane z uwzględnieniem potrzeby zachowania równowagi między zwiększeniem bezpieczeństwa cybernetycznego, budową niezbędnego poziomu zaufania oraz, w interesie efektywności, pełnym wykorzystaniem zebranych doświadczeń, a także unikaniem powielania wiedzy zdobywanej przez istniejące podmioty i w ramach istniejących mechanizmów. 26. W odniesieniu do rozdziału III, jak już zauważono powyżej (pkt 12), państwa członkowskie zgadzają się co do potrzeby wzmocnienia współpracy strategicznej/politycznej w zakresie bezpieczeństwa sieci i informacji na poziomie UE. Pewna grupa państw członkowskich jest zdania, że dyrektywa powinna określać bardziej szczegółowe kryteria i wymogi współpracy operacyjnej w przypadku incydentów w zakresie bezpieczeństwa sieci i informacji. Większość państw członkowskich uznaje jednak współpracę strategiczną/polityczną za priorytetową dla budowania koniecznego zaufania; w tym samym czasie można dalej pracować nad opcjami współpracy operacyjnej w oparciu o istniejące mechanizmy i podmioty. Jak pokazano powyżej (pkt 12-18), prezydencja nie postrzega współpracy strategicznej/politycznej i współpracy operacyjnej jako wzajemnie się wykluczających opcji, ale jest przekonana, że w dyrektywie należy potraktować priorytetowo współpracę strategiczną/polityczną, udzielając zarazem istniejącym organom i mechanizmom wskazówek co do współpracy operacyjnej. * * * Po rozważeniu niniejszego sprawozdania z postępu prac przez Coreper w dniu 28 maja prezydencja przedłoży je Radzie i zachęci ją do zapoznania się z tym dokumentem. 10097/14 krk/ap/mak 10