Propozycja ta ma na celu wzmocnienie ich odporności i zdolności reagowania na zagrożenia cyberbezpieczeństwa i cyberincydenty, a także zapewnienie odpornej i bezpiecznej administracji publicznej UE w kontekście nasilających się szkodliwych działań w cyberprzestrzeni na świecie. 

W kontekście pandemii COVID-19 i coraz poważniejszych wyzwań geopolitycznych wspólne podejście do cyberbezpieczeństwa i bezpieczeństwa informacji jest koniecznością. W związku z tym Komisja zaproponowała rozporządzenie w sprawie cyberbezpieczeństwa i rozporządzenie w sprawie bezpieczeństwa informacji. Dzięki ustanowieniu wspólnych priorytetów i ram, przepisy te przyczynią się do dodatkowego wzmocnienia współpracy międzyinstytucjonalnej, zminimalizowania narażenia na ryzyko i podniesienia poziomu kultury bezpieczeństwa UE.

Rozporządzenie w sprawie cyberbezpieczeństwa

Proponowane rozporządzenie w sprawie cyberbezpieczeństwa wprowadzi ramy nadzoru, zarządzania ryzykiem i kontroli w dziedzinie cyberbezpieczeństwa. Doprowadzi to do utworzenia nowej Międzyinstytucjonalnej Rady ds. Cyberbezpieczeństwa, zwiększenia zdolności w zakresie cyberbezpieczeństwa oraz stymulowania regularnych ocen dojrzałości i lepszej higieny cyberbezpieczeństwa. Zostanie również rozszerzony mandat zespołu reagowania na incydenty komputerowe dla instytucji, organów, urzędów i agencji UE (CERT-UE) jako punktu analizy cyberzagrożeń, wymiany informacji i koordynacji reagowania na incydenty, centralnego organu doradczego i dostawcy usług.

Kluczowe elementy wniosku dotyczącego rozporządzenia w sprawie cyberbezpieczeństwa:

• wzmocnienie mandatu CERT-UE i zapewnienie potrzebnych zasobów do wykonywania jego mandatu;
• zobowiązanie wszystkich instytucji, organów, urzędów i agencji UE do:
  • posiadania ram nadzoru, zarządzania ryzykiem i kontroli w dziedzinie cyberbezpieczeństwa;
  • wdrożenia podstawowych środków w zakresie cyberbezpieczeństwa odnoszących się do zidentyfikowanych zagrożeń;
  • przeprowadzania regularnych ocen dojrzałości;
  • posiadania planu poprawy cyberbezpieczeństwa zatwierdzonego przez kierownictwo danego podmiotu;
  • wymiany informacji dotyczących incydentów z CERT-UE bez zbędnej zwłok;
• ustanowienie nowej Międzyinstytucjonalnej Rady ds. Cyberbezpieczeństwa w celu stymulowania i monitorowania wykonania rozporządzenia oraz kierowania CERT-UE;
• zmiany nazwy CERT-UE z „zespołu reagowania na incydenty komputerowe” na „centrum ds. cyberbezpieczeństwa”, zgodnie z rozwojem sytuacji w państwach członkowskich i na całym świecie, przy zachowaniu skróconej nazwy „CERT-UE” na potrzeby jej rozpoznawalności.

Rozporządzenie w sprawie bezpieczeństwa informacji

Proponowane rozporządzenie w sprawie bezpieczeństwa informacji stworzy minimalny zestaw zasad i norm bezpieczeństwa informacji dla wszystkich instytucji, organów, urzędów i agencji UE, aby zapewnić lepszą i spójną ochronę przed stopniowo zmieniającymi się zagrożeniami dla ich informacji. Te nowe przepisy zapewnią stabilne podstawy bezpiecznej wymiany informacji w ramach instytucji, organów, urzędów i agencji UE oraz państw członkowskich w oparciu o znormalizowane praktyki i środki ochrony przepływu informacji.

Kluczowe elementy wniosku dotyczącego rozporządzenia w sprawie bezpieczeństwa informacji:

• wprowadzenie skutecznego monitorowania w celu wspierania współpracy między wszystkimi instytucjami, organami, urzędami i agencjami UE, a mianowicie międzyinstytucjonalnej grupy koordynacyjnej ds. bezpieczeństwa informacji;
• ustanowienie wspólnego podejścia do kategoryzacji informacji w oparciu o poziom poufności;
• modernizacja polityki bezpieczeństwa informacji, z pełnym uwzględnieniem transformacji cyfrowej i pracy zdalnej;
• usprawnienie obecnych praktyk i osiągnięcie większej kompatybilności między odpowiednimi systemami i urządzeniami.