.

Nowe rozporządzenie w sprawie cyberbezpieczeństwa ustanawiające środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach i jednostkach organizacyjnych Unii weszło w życie 7 stycznia 2024 r.

W rozporządzeniu ustanawia się środki służące ustanowieniu wewnętrznych ram zarządzania ryzykiem w cyberprzestrzeni, zarządzania nim i jego kontroli dla każdego podmiotu Unii oraz ustanawia się nową międzyinstytucjonalną Radę ds. Cyberbezpieczeństwa (IICB) w celu monitorowania i wspierania ich wdrażania przez podmioty Unii. Zapewnia on rozszerzony mandat zespołu reagowania na incydenty komputerowe w instytucjach, organach, urzędach i agencjach UE (CERT-UE) jako centrum wywiadu o zagrożeniach, wymiany informacji i koordynacji reagowania na incydenty, centralnego organu doradczego i dostawcy usług. Zgodnie ze swoim mandatem CERT-UE zostaje przemianowany na Służbę ds. Cyberbezpieczeństwa dla instytucji, organów, urzędów i agencji Unii, ale zachowuje nazwę skróconą „CERT-UE".

Kolejne kroki
Zgodnie z harmonogramem określonym w rozporządzeniu podmioty Unii ustanowią wewnętrzne procesy zarządzania cyberbezpieczeństwem i będą stopniowo wprowadzać konkretne środki zarządzania ryzykiem w cyberprzestrzeni przewidziane w rozporządzeniu. IICB zostanie utworzona i rozpocznie działalność tak szybko, jak to możliwe, w celu zapewnienia strategicznego kierowania CERT-UE w ramach jego rozszerzonego mandatu, zapewnienia wskazówek i wsparcia podmiotom Unii oraz monitorowania wdrażania rozporządzenia.

Kontekst ogólny
W rezolucji z marca 2021 r. Rada Unii Europejskiej podkreśliła znaczenie solidnych i spójnych ram bezpieczeństwa dla ochrony całego personelu, danych, sieci komunikacyjnych, systemów informacyjnych i procesów decyzyjnych UE. W tym kontekście Komisja ogłosiła wniosek dotyczący rozporządzenia w sprawie cyberbezpieczeństwa w marcu 2022 r., a w czerwcu 2023 r. Parlament Europejski i Rada osiągnęły porozumienie polityczne.

Niniejsze rozporządzenie jest zgodne z celami polityki Komisji określonymi w strategii UE w zakresie unii bezpieczeństwa i strategii bezpieczeństwa cybernetycznego UE oraz zapewnia spójność z innymi inicjatywami ustawodawczymi w tej dziedzinie:
- Dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („NIS 2"), do której przepisy te są dostosowane pod względem zasad i poziomu ambicji, przy jednoczesnym poszanowaniu specyfiki podmiotów unijnych;
- Akt o cyberbezpieczeństwie;
- Zaleceniem Komisji w sprawie skoordynowanego reagowania na szczeblu unijnym na incydenty i kryzysy cybernetyczne na dużą skalę.

Rozporządzenie w sprawie cyberbezpieczeństwa przedstawiono wraz z wnioskiem dotyczącym rozporządzenia w sprawie bezpieczeństwa informacji, w którym określono minimalne zasady i normy bezpieczeństwa informacji dla wszystkich instytucji, organów, urzędów i agencji UE. Niniejszy wniosek ma na celu bezpieczną wymianę informacji między instytucjami, organami i jednostkami organizacyjnymi UE oraz z państwami członkowskimi w oparciu o znormalizowane praktyki i środki ochrony przepływu informacji. Negocjacje między współprawodawcami w sprawie tego wniosku jeszcze się nie rozpoczęły.

Cytat
Ponieważ cyberzagrożenia stają się coraz bardziej powszechne, a ataki cybernetyczne są coraz bardziej wyrafinowane, osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa we wszystkich podmiotach Unii ma zasadnicze znaczenie dla zapewnienia otwartej, wydajnej, bezpiecznej i odpornej administracji publicznej UE. Rozporządzenie wzmacnia cyberbezpieczeństwo podmiotów unijnych i dostosowuje administrację UE do norm nałożonych na państwa członkowskie, takich jak dyrektywa w sprawie wysokich wspólnych poziomów cyberbezpieczeństwa w całej Unii, znana również jako NIS 2. Szybkie przyjęcie rozporządzenia dowodzi zaangażowania UE w realizację tych celów. Teraz wzywam współprawodawców do szybkiego podjęcia negocjacji w sprawie równoległego rozporządzenia w sprawie bezpieczeństwa informacji.
Johannes Hahn, komisarz do spraw budżetu i administracji