(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: www.edps.europa.eu)(2021/C 183/03)
(Dz.U.UE C z dnia 11 maja 2021 r.)
W dniu 16 grudnia 2020 r. Komisja Europejska przyjęła wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, uchylającej dyrektywę (UE) 2016/1148 ("wniosek"). Jednocześnie Komisja Europejska i Wysoki Przedstawiciel Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa wydali wspólny komunikat do Parlamentu Europejskiego i Rady zatytułowany "Strategia UE w zakresie cyberbezpieczeństwa na cyfrową dekadę" ("strategia").
EIOD w pełni popiera ogólny cel strategii, jakim jest zapewnienie globalnego i otwartego internetu z silnymi zabezpieczeniami przed zagrożeniami dla bezpieczeństwa i praw podstawowych, uznanie strategicznej wartości internetu i zarządzania nim oraz wzmocnienie działań Unii w tym obszarze, w modelu obejmującym wiele zainteresowanych stron.
W związku z tym EIOD z zadowoleniem przyjmuje cel wniosku, jakim jest wprowadzenie zmian systemowych i strukturalnych do obecnej dyrektywy w sprawie bezpieczeństwa sieci i informacji w celu objęcia nią szerszego zestawu podmiotów w całej Unii, z silniejszymi środkami bezpieczeństwa, w tym obowiązkowym zarządzaniem ryzykiem, minimalnymi standardami oraz odpowiednimi przepisami dotyczącymi nadzoru i egzekwowania. W związku z tym EIOD uważa, że konieczne jest pełne włączenie instytucji, urzędów, organów i agencji Unii do ogólnounijnych ogólnych ram cyberbezpie- czeństwa w celu osiągnięcia jednolitego poziomu ochrony poprzez wyraźne włączenie instytucji, urzędów, organów i agencji Unii do zakresu wniosku.
EIOD podkreśla ponadto znaczenie włączenia perspektywy prywatności i ochrony danych do środków z zakresu cyberbezpieczeństwa wynikających z wniosku lub z innych inicjatyw w zakresie cyberbezpieczeństwa zawartych w strategii, aby zapewnić całościowe podejście i umożliwić synergię podczas zarządzania cyberbezpieczeństwem i ochrony przetwarzanych przez nie danych osobowych. Równie ważne jest, aby wszelkie potencjalne ograniczenia prawa do ochrony danych osobowych i prywatności wynikające z takich środków spełniały kryteria określone w art. 52 Karty praw podstawowych Unii Europejskiej, a w szczególności by zostały osiągnięte za pomocą środka ustawodawczego i były zarówno konieczne, jak i proporcjonalne.
EIOD oczekuje, że wniosek nie będzie miał wpływu na stosowanie obowiązujących przepisów UE regulujących przetwarzanie danych osobowych, w tym na zadania i uprawnienia niezależnych organów nadzorczych właściwych do monitorowania zgodności z tymi aktami. Oznacza to, że wszystkie systemy i usługi cyberbezpieczeństwa związane z zapobieganiem zagrożeniom cybernetycznym, ich wykrywaniem i reagowaniem na nie powinny być zgodne z obowiązującymi ramami ochrony prywatności i ochrony danych. W związku z tym EIOD uważa, że na potrzeby wniosku istotne i konieczne jest ustanowienie jasnej i jednoznacznej definicji terminu "cyberbezpieczeństwo".
EIOD wydaje szczegółowe zalecenia w celu zapewnienia, by wniosek prawidłowo i skutecznie uzupełniał obowiązujące prawodawstwo Unii w zakresie ochrony danych osobowych, w szczególności ogólne rozporządzenie o ochronie danych i dyrektywę o prywatności i łączności elektronicznej, w razie potrzeby również poprzez zaangażowanie EIOD i Europejskiej Rady Ochrony Danych oraz ustanowienie jasnych mechanizmów współpracy między właściwymi organami z różnych obszarów regulacyjnych.
Ponadto przepisy dotyczące zarządzania internetowymi rejestrami domen najwyższego poziomu (TLD) powinny jasno określać odpowiedni zakres i warunki prawne. Koncepcja proaktywnego skanowania sieci i systemów informatycznych przez CSIRT wymaga również dalszych wyjaśnień co do zakresu i rodzajów przetwarzanych danych osobowych. Zwraca się uwagę na ryzyko związane z ewentualnym niezgodnym z przepisami przekazywaniem danych w związku z outsourcingiem usług w zakresie cyberbezpieczeństwa lub nabywaniem produktów z zakresu cyberbezpieczeństwa i ich łańcucha dostaw.
EIOD z zadowoleniem przyjmuje apel o propagowanie stosowania szyfrowania, a w szczególności szyfrowania typu "end- to-end", i ponownie podkreśla swoje stanowisko w sprawie szyfrowania jako krytycznej i niezastąpionej technologii skutecznej ochrony danych i prywatności, której obejście pozbawiłoby mechanizm wszelkiej zdolności ochrony ze względu na ich ewentualne bezprawne wykorzystanie i utratę zaufania do kontroli bezpieczeństwa. W tym celu należy wyjaśnić, że żaden z elementów wniosku nie powinien być rozumiany jako poparcie dla osłabienia szyfrowania typu "end-to-end" za pomocą "backdoor" lub podobnych rozwiązań.
1 Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, uchylającej dyrektywę (UE) 2016/1148, COM(2020) 823 final.
2 Strategia UE w zakresie cyberbezpieczeństwa na cyfrową dekadę, JOIN (2020) 18 final.
3 Zob. rozdział I. WPROWADZENIE, s. 4 strategii.
4 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194 z 19.7.2016, s. 1).