Akty Prawne
Dziennik Urzędowy Unii Europejskiej - Seria L
Dz.U.UE.L.2017.239.36

Zalecenie 2017/1584 w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę

ZALECENIE KOMISJI (UE) 2017/1584

z dnia 13 września 2017 r.

w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 292,

a także mając na uwadze, co następuje:

(1) Wykorzystanie technologii informacyjno-komunikacyjnych i uzależnienie od nich zyskały podstawowe znaczenie we wszystkich sektorach działalności gospodarczej, gdyż przedsiębiorstwa i obywatele są wzajemnie bardziej powiązani i uzależnieni w wymiarze międzysektorowym i transgranicznym niż kiedykolwiek wcześniej. Incydent cybernetyczny mający negatywne skutki dla organizacji w więcej niż jednym państwie członkowskim, a nawet dla całej Unii, i mogący spowodować poważne zakłócenia w funkcjonowaniu rynku wewnętrznego oraz - w szerszym wymiarze - w funkcjonowaniu sieci i systemów informatycznych mających zasadnicze znaczenie dla gospodarki, demokracji i społeczeństwa, to scenariusz, na który państwa członkowskie i instytucje UE muszą być dobrze przygotowane.

(2) Incydent cybernetyczny może zostać uznany za sytuację kryzysową na szczeblu Unii, jeżeli wywołane nim zakłócenia mają zbyt duży zakres, by państwo członkowskie, w którym doszło do tego incydentu, poradziło sobie z nim w pojedynkę, albo jeżeli dla dwóch lub większej liczby państw członkowskich ma on skutki o tak szerokim zakresie i o tak dużym znaczeniu technicznym lub politycznym, że wymaga on szybkiej koordynacji i reakcji na szczeblu politycznym Unii.

(3) Incydenty cybernetyczne mogą doprowadzić do kryzysu na szerszą skalę, odbijającego się negatywnie na sektorach działalności niezwiązanych z siecią i systemami informatycznymi ani z sieciami łączności; każda właściwa reakcja musi opierać się na ograniczających zagrożenie działaniach zarówno w domenie cyfrowej, jak i poza nią.

(4) Incydenty cybernetyczne są nieprzewidywalne, często pojawiają się i rozwijają w bardzo krótkim czasie, w związku z tym dotknięte ich skutkami podmioty i jednostki odpowiadające za reagowanie na incydenty i ograniczanie ich skutków muszą koordynować swoje działania w trybie pilnym. Ponadto incydenty cybernetyczne często nie są ograniczone do konkretnego obszaru geograficznego i mogą występować jednocześnie lub rozprzestrzeniać się błyskawicznie w wielu państwach.

(5) Skuteczne reagowanie na szczeblu UE na incydenty i kryzysy cybernetyczne na dużą skalę wymaga szybkiej i skutecznej współpracy między wszystkimi odpowiednimi zainteresowanymi stronami, a podstawowym warunkiem skutecznej reakcji jest gotowość i zdolności poszczególnych państw członkowskich do podejmowania określonych działań, a także skoordynowane wspólne działanie wspierane zdolnościami na szczeblu unijnym. Szybkie i skuteczne reagowanie na incydenty uzależnione jest więc od istnienia wcześniej ustanowionych i, w miarę możliwości, dobrze przećwiczonych procedur i mechanizmów współpracy, w których kluczowe podmioty na szczeblu krajowym i unijnym mają jasno określone role i obowiązki.

(6) W konkluzjach 1 w sprawie ochrony krytycznej infrastruktury teleinformatycznej z dnia 27 maja 2011 r. Rada wezwała państwa członkowskie UE, aby wzmocniły wzajemną współpracę "i przyczyniły się, na podstawie doświadczeń i wyników krajowych w zakresie zarządzania kryzysowego oraz we współpracy z ENISA, do opracowania europejskich mechanizmów współpracy na wypadek incydentu cybernetycznego, które zostaną przetestowane w ramach następnego ćwiczenia Cyber Europe w 2012 roku".

(7) W komunikacie z 2016 r. "Wzmacnianie europejskiego systemu odporności cybernetycznej oraz wspieranie konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego" 2 zachęcono państwa członkowskie do maksymalnego wykorzystania mechanizmów współpracy ustanowionych dyrektywą w sprawie bezpieczeństwa sieci i informacji 3 oraz do zacieśnienia współpracy transgranicznej związanej z gotowością na wypadek incydentu cybernetycznego na dużą skalę. Dodano w nim, że skoordynowane podejście do współpracy w sytuacjach kryzysowych pomiędzy różnymi elementami ekosystemu cybernetycznego, które należałoby określić w planie działania, zwiększyłoby stopień gotowości, a taki plan działania powinien również zapewniać synergię i spójność z istniejącymi mechanizmami zarządzania kryzysowego.

(8) W konkluzjach Rady 4 dotyczących wspomnianego wyżej komunikatu państwa członkowskie wezwały Komisję do przedłożenia takiego planu (projektu) współpracy do rozważenia przez podmioty działające na podstawie dyrektywy w sprawie bezpieczeństwa sieci i informacji i inne zainteresowane strony. We wspomnianej dyrektywie nie określono jednak ram współpracy unijnej w przypadku incydentów i kryzysów cybernetycznych na dużą skalę.

(9) Komisja zasięgnęła opinii państw członkowskich w ramach dwóch odrębnych warsztatów konsultacyjnych, które odbyły się w dniach 5 kwietnia i 4 lipca 2017 r. w Brukseli z udziałem przedstawicieli zespołów reagowania na incydenty komputerowe (CSIRT) z państw członkowskich, grupy współpracy powołanej dyrektywą w sprawie bezpieczeństwa sieci i informacji oraz działającej w Radzie Horyzontalnej Grupy Roboczej ds. Cyberprzestrzeni, jak również przedstawicieli Europejskiej Służby Działań Zewnętrznych (ESDZ), ENISA, działu EC3 w Europolu i Sekretariatu Generalnego Rady (SGR).

(10) Obecny plan działania na rzecz skoordynowanego reagowania na szczeblu unijnym na incydenty i kryzysy cybernetyczne na dużą skalę, załączony do niniejszego zalecenia, jest rezultatem wspomnianych konsultacji i stanowi uzupełnienie komunikatu "Wzmacnianie europejskiego systemu odporności cybernetycznej oraz wspieranie konkurencyjnego i innowacyjnego sektora bezpieczeństwa cybernetycznego".

(11) W planie tym określono i opisano cele i tryby współpracy między państwami członkowskimi UE a unijnymi instytucjami, organami, jednostkami organizacyjnymi i agencjami (zwanymi dalej "instytucjami unijnymi") przy reagowaniu na incydenty i kryzysy cybernetyczne na dużą skalę, a także sposoby pełnego wykorzystania w istniejących mechanizmach zarządzania kryzysowego istniejących podmiotów odpowiedzialnych za bezpieczeństwo cybernetyczne na szczeblu unijnym.

(12) W przypadku kryzysu cybernetycznego w rozumieniu motywu 2 koordynacja reakcji na szczeblu politycznym Unii w Radzie oparta zostanie na zintegrowanych uzgodnieniach UE dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych 5 (ang. Integrated Political Crisis Response, IPCR); Komisja będzie korzystać z mechanizmu ARGUS 6 służącego do koordynacji działań na wysokim szczeblu w przypadku kryzysów międzysektorowych. Jeżeli sytuacja kryzysowa wiąże się z istotnymi kwestiami z zakresu polityki zewnętrznej lub wspólnej polityki bezpieczeństwa i obrony (WPBiO), uruchomiony zostanie mechanizm reagowania kryzysowego (ang. Crisis Response Mechanism, CRM) 7 Europejskiej Służby Działań Zewnętrznych (ESDZ).

(13) W pewnych obszarach w sektorowych mechanizmach zarządzania kryzysowego na szczeblu UE przewidziano współpracę w przypadku incydentów lub kryzysów cybernetycznych. Na przykład w ramach Europejskiego Globalnego Systemu Nawigacji Satelitarnej (GNSS) w decyzji Rady 2014/496/WPZiB 8 określono już role przydzielone Radzie, Wysokiemu Przedstawicielowi, Komisji, Agencji Europejskiego GNSS i państwom członkowskim w łańcuchu odpowiedzialności operacyjnej ustanowionym na potrzeby reagowania na zagrożenia dla Unii, państw członkowskich lub GNSS, w tym zagrożenie stwarzane przez ataki cybernetyczne. W związku z tym niniejsze zalecenie nie powinno naruszać funkcjonowania takich mechanizmów.

(14) Odpowiedzialność za reagowanie na incydenty lub kryzysy cybernetyczne na dużą skalę spoczywa w pierwszej kolejności na państwach członkowskich nimi dotkniętych. Komisja, Wysoki Przedstawiciel i inne instytucje lub służby unijne odgrywają jednak ważną rolę, wynikającą z prawa Unii lub z faktu, że incydenty i kryzysy cybernetyczne mogą mieć negatywne skutki dla wszystkich sektorów działalności gospodarczej w ramach jednolitego rynku, dla bezpieczeństwa i stosunków międzynarodowych Unii, a także dla samych instytucji.

(15) Na szczeblu UE do głównych podmiotów zaangażowanych w reagowanie na kryzysy cybernetyczne należą nowe struktury i mechanizmy ustanowione na podstawie dyrektywy w sprawie bezpieczeństwa sieci i informacji, a mianowicie sieć zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) oraz stosowne agencje i jednostki organizacyjne, tj. Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), Europejskie Centrum ds. Walki z Cyberprzestępczością w Europolu (Europol/EC3), Centrum Analiz Wywiadowczych UE (INTCEN), Dyrekcja ds. Wywiadu w Sztabie Wojskowym UE (EUMS INT) oraz Centrum Sytuacyjne (SITROOM), działające wspólnie jako SIAC (pojedyncza komórka analiz wywiadowczych), a ponadto komórka UE ds. syntezy informacji o zagrożeniach hybrydowych (działająca przy INTCEN), zespół reagowania na incydenty komputerowe w instytucjach i agencjach UE (CERT-UE) oraz Centrum Koordynacji Reagowania Kryzysowego działające w Komisji Europejskiej.

(16) Współpraca państw członkowskich w zakresie reagowania na incydenty cybernetyczne na poziomie technicznym prowadzona jest za pośrednictwem sieci CSIRT ustanowionej dyrektywą w sprawie bezpieczeństwa sieci i informacji. ENISA zapewnia tej sieci obsługę sekretariatu i aktywnie wspiera współpracę między poszczególnymi zespołami CSIRT. Krajowe CSIRT oraz CERT-UE podejmują współpracę i wymieniają się informacjami na zasadzie dobrowolności, w tym, w razie potrzeby, przy reagowaniu na incydenty cybernetyczne mające negatywne skutki dla jednego państwa członkowskiego lub większej ich liczby. Na wniosek przedstawiciela CSIRT jednego z państw członkowskich mogą one omówić oraz, w miarę możliwości, ustalić sposób skoordynowanej reakcji na incydent, który wykryto na obszarze jurysdykcji tego państwa członkowskiego. Odnośne procedury zostaną określone w standardowych procedurach operacyjnych (SOP) 9 sieci CSIRT.

(17) Do zadań sieci CSIRT należy również omawianie, analizowanie i określanie dalszych form współpracy operacyjnej, w tym kwestii związanych z kategoriami zagrożeń i incydentów, wczesnym ostrzeganiem, wzajemną pomocą oraz zasadami i trybami koordynacji, w przypadku gdy państwa członkowskie podejmują działania w reakcji na transgraniczne zagrożenia i incydenty.

(18) Zadaniem grupy współpracy, powołanej na mocy art. 11 dyrektywy w sprawie bezpieczeństwa sieci i informacji, jest udzielanie strategicznych wskazówek dotyczących działalności sieci CSIRT oraz omawianie zdolności i gotowości państw członkowskich, a także, na zasadzie dobrowolności, ocena krajowych strategii w zakresie bezpieczeństwa sieci i systemów informatycznych oraz skuteczności CSIRT oraz wskazywanie najlepszych praktyk.

(19) Osobnym obszarem prac prowadzonych przez grupę współpracy są wytyczne w zakresie zgłaszania incydentów, zgodnie z art. 14 ust. 7 dyrektywy w sprawie bezpieczeństwa sieci i informacji, dotyczące okoliczności, w których operatorzy usług kluczowych są zobowiązani do zgłaszania incydentów zgodnie z art. 14 ust. 3, oraz formatu i procedury takich zgłoszeń 10 .

(20) Orientowanie się w czasie rzeczywistym w sytuacji, podejmowanym ryzyku i w zagrożeniach oraz ich zrozumienie, uzyskane dzięki zgłoszeniom, ocenom, badaniom, dochodzeniom i analizom, jest niezbędne do podejmowania świadomych decyzji. Taka orientacja sytuacyjna - u wszystkich zainteresowanych stron - ma kluczowe znaczenie w zapewnianiu skutecznej i skoordynowanej reakcji. Orientacja sytuacyjna obejmuje informacje zarówno o przyczynach, jak i skutkach oraz źródle incydentu. Powszechnie przyjmuje się, że taką orientację można osiągnąć tylko w drodze wymiany i udostępniania przez zainteresowane strony informacji w odpowiednim formacie, przy użyciu wspólnej taksonomii do opisu incydentu oraz w sposób zapewniający odpowiedni poziom bezpieczeństwa.

(21) Reagowanie na incydenty cybernetyczne może przybierać różne formy, począwszy od określenia środków technicznych, mogących polegać na wspólnej analizie technicznych przyczyn incydentu (np. analizie złośliwego oprogramowania) przez dwa podmioty lub większą ich liczbę, lub określenia sposobów, za pomocą których organizacje mogą sprawdzić, czy padły ofiarami incydentu (np. oznaki naruszenia integralności systemu), po decyzje operacyjne dotyczące stosowania takich środków oraz - na szczeblu politycznym - decyzje o wykorzystaniu innych instrumentów, takich jak ramy wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania cybernetyczne 11 lub unijny protokół operacyjny do celów przeciwdziałania zagrożeniom hybrydowym 12 , w zależności od charakteru incydentu.

(22) Zaufanie europejskich obywateli i przedsiębiorstw do usług cyfrowych ma kluczowe znaczenie dla dynamicznie rozwijającego się jednolitego rynku cyfrowego. W związku z tym komunikacja podczas sytuacji kryzysowej odgrywa szczególnie ważną rolę w ograniczaniu negatywnych skutków incydentów i kryzysów cybernetycznych. Komunikację można również wykorzystać w ramach wspólnej reakcji dyplomatycznej jako środek wpływania na zachowania (potencjalnych) sprawców działających z terytorium państw trzecich. Uspójnienie informacji publikowanych w celu ograniczenia negatywnych skutków incydentów i kryzysów cybernetycznych z informacjami publikowanymi w celu wywierania wpływu na sprawców ma zasadnicze znaczenie dla zapewnienia skuteczności reakcji politycznej.

(23) Informowanie obywateli o tym, w jaki sposób mogą ograniczyć negatywne skutki danego incydentu na poziomie indywidualnego użytkownika bądź organizacji (na przykład poprzez aktualizację oprogramowania lub podjęcie działań uzupełniających w celu uniknięcia zagrożenia) może być skutecznym środkiem ograniczania szkodliwości incydentu lub kryzysu cybernetycznego na dużą skalę.

(24) Komisja, korzystając z infrastruktury usług cyfrowych w zakresie bezpieczeństwa cybernetycznego w ramach instrumentu "Łącząc Europę", tworzy mechanizm w postaci platformy usług podstawowych, którą nazwano MeliCERTes, służący współpracy między CSIRT uczestniczących państw członkowskich, w celu poprawy poziomu ich gotowości, udoskonalenia ich współdziałania i reakcji na pojawiające się zagrożenia i incydenty cybernetyczne. Komisja, w drodze konkurencyjnych zaproszeń do składania wniosków o przyznanie dotacji ze środków instrumentu "Łącząc Europę", współfinansuje CSIRT w państwach członkowskich, aby zwiększyć ich zdolności operacyjne na szczeblu krajowym.

(25) Ćwiczenia w dziedzinie bezpieczeństwa cybernetycznego na szczeblu UE są niezbędne do stymulowania i poprawy współpracy między państwami członkowskimi a sektorem prywatnym. W tym celu od 2010 r. ENISA organizuje regularnie ćwiczenia w zakresie incydentów cybernetycznych na skalę ogólnoeuropejską ("Cyber Europe").

(26) W konkluzjach Rady 13 w sprawie realizacji wspólnej deklaracji przewodniczącego Rady Europejskiej, przewodniczącego Komisji Europejskiej i Sekretarza Generalnego Organizacji Traktatu Północnoatlantyckiego zaapelowano o wzmocnienie współpracy w zakresie ćwiczeń w dziedzinie bezpieczeństwa cybernetycznego poprzez wzajemny udział pracowników w odpowiednich ćwiczeniach, w tym w szczególności ćwiczeniach "Cyber Coalition" oraz "Cyber Europe".

(27) Stale zmieniający się obraz zagrożeń i niedawne incydenty cybernetyczne są oznaką rosnącego ryzyka, na jakie narażona jest Unia, państwa członkowskie powinny zatem bez dalszych opóźnień, a w każdym razie przed końcem 2018 r., podjąć działania w oparciu o niniejsze zalecenie,

PRZYJMUJE NINIEJSZE ZALECENIE:

W unijnych ramach reagowania w sytuacji kryzysu cybernetycznego należy w szczególności określić właściwe podmioty, instytucje unijne i organy państw członkowskich, na wszystkich niezbędnych poziomach - technicznym, operacyjnym, strategicznym/politycznym - oraz opracować, w stosownych przypadkach, standardowe procedury operacyjne zawierające opis trybu współpracy tych podmiotów w ramach unijnych mechanizmów zarządzania kryzysowego. Należy położyć nacisk na umożliwienie wymiany informacji bez zbędnej zwłoki i koordynowanie reakcji w obliczu incydentów i kryzysów cybernetycznych na dużą skalę.

W odniesieniu do istniejących unijnych mechanizmów zarządzania kryzysowego, zgodnie z planem działania, państwa członkowskie, wraz ze służbami Komisji i ESDZ, powinny określić praktyczne wytyczne wdrożeniowe, dotyczące zintegrowania krajowych podmiotów i procedur zarządzania kryzysowego i bezpieczeństwa cybernetycznego z istniejącymi unijnymi mechanizmami zarządzania kryzysowego, a mianowicie IPCR i mechanizmem reagowania kryzysowego ESDZ. Państwa członkowskie powinny w szczególności zapewnić utworzenie odpowiednich struktur umożliwiających skuteczny przepływ informacji między swoimi krajowymi organami zarządzania kryzysowego a swoimi przedstawicielami na szczeblu UE, zaangażowanymi w funkcjonowanie unijnych mechanizmów kryzysowych.

Państwa członkowskie - przy wsparciu ENISA, a także w oparciu o wcześniejsze prace w tej dziedzinie - powinny współpracować przy opracowywaniu i przyjmowaniu wspólnej taksonomii i wzoru raportów sytuacyjnych na potrzeby opisu technicznych przyczyn i skutków incydentów cybernetycznych, aby dalej zacieśniać swoją współpracę techniczną i operacyjną w sytuacjach kryzysowych. Państwa członkowskie powinny zatem uwzględnić prowadzone przez grupę współpracy bieżące prace nad wytycznymi w zakresie zgłaszania incydentów, a w szczególności aspekty dotyczące formatów zgłoszeń krajowych.

Procedury określone we wspomnianych ramach powinny być testowane i w razie konieczności zmieniane w następstwie nowych doświadczeń zdobywanych przez państwa członkowskie w wyniku ich uczestnictwa w krajowych, regionalnych i unijnych inicjatywach, jak również ćwiczeniach z zakresu dyplomacji cyfrowej oraz ćwiczeniach NATO w dziedzinie bezpieczeństwa cybernetycznego. W szczególności procedury te powinny być przedmiotem testów w kontekście ćwiczeń "Cyber Europe" organizowanych przez ENISA. Ćwiczenia "Cyber Europe" 2018 będą stanowić pierwszą tego rodzaju okazję.

Sporządzono w Brukseli dnia 13 września 2017 r.

	W imieniu Komisji
	Mariya GABRIEL
	Członek Komisji

ZAŁĄCZNIK

Plan skoordynowanego reagowania na wypadek wystąpienia transgranicznych incydentów cybernetycznych na dużą skalę i kryzysów cybernetycznych

WPROWADZENIE

Niniejszy plan ma zastosowanie w przypadku wystąpienia incydentów cybernetycznych, które powodują zakłócenia na skalę zbyt szeroką, aby dotknięte nimi państwo członkowskie zdołało się z nimi samodzielnie uporać, lub które dotykają co najmniej dwóch państw członkowskich bądź instytucji unijnych i mają tak szeroko zakrojony i znaczący wpływ o charakterze technicznym bądź politycznym, że wymagają terminowej koordynacji działań i reakcji na unijnym poziomie politycznym.

Incydenty cybernetyczne na tak dużą skalę uważa się za "kryzysy cybernetyczne".

W przypadku ogólnounijnej sytuacji kryzysowej z elementami zagrożenia cybernetycznego koordynacją reakcji na unijnym poziomie politycznym zajmuje się Rada, która korzysta ze zintegrowanych uzgodnień UE dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych (IPCR).

W obrębie Komisji koordynacja przebiega zgodnie z systemem wczesnego ostrzegania ARGUS.

Jeżeli sytuacja kryzysowa obejmuje istotny wymiar polityki zewnętrznej lub wspólnej polityki bezpieczeństwa i obrony, uruchamia się mechanizm reagowania kryzysowego ESDZ.

W niniejszym planie opisano, w jaki sposób należy w pełni wykorzystać te ugruntowane mechanizmy zarządzania kryzysowego w ramach istniejących jednostek zajmujących się bezpieczeństwem cybernetycznym na szczeblu unijnym i mechanizmy współpracy między państwami członkowskimi.

W ten sposób w planie działania uwzględniono szereg zasad przewodnich (zasady: proporcjonalności, pomocniczości, komplementarności i poufności informacji), przedstawiono zasadnicze cele współpracy (skuteczne reagowanie, wspólna orientacja sytuacyjna, informowanie społeczeństwa) na trzech poziomach (strategicznym i politycznym, operacyjnym i technicznym), mechanizmy i zaangażowane podmioty oraz działania niezbędne do osiągnięcia wspomnianych celów zasadniczych.

W projekcie nie uwzględniono w pełni pełnego cyklu zarządzania kryzysowego (zapobieganie/ograniczanie skutków, przygotowanie, reagowanie, odbudowa), lecz skupiono się na reagowaniu. Niektóre działania, zwłaszcza związane z uzyskaniem wspólnej orientacji sytuacyjnej, zostały jednak wzięte pod uwagę.

Należy również zauważyć, że incydenty cybernetyczne mogą być źródłem lub częścią większych kryzysów, uderzających w inne sektory. Z uwagi na fakt, iż można się spodziewać, że skutki większości kryzysów cybernetycznych objawią się w świecie fizycznym, każde właściwe reagowanie musi być oparte na działaniach ograniczających skutki w sferze cybernetycznej i niecybernetycznej. Działania w odpowiedzi na kryzys cybernetyczny należy koordynować z innymi mechanizmami zarządzania kryzysowego na szczeblu unijnym, krajowym lub sektorowym.

Plan działania nie zastępuje też i nie powinien naruszać istniejących mechanizmów sektorowych lub mechanizmów, ustaleń bądź instrumentów związanych z określonymi obszarami polityki, takimi jak ustanowione w odniesieniu do programu Europejskiego Globalnego Systemu Nawigacji Satelitarnej (GNSS) 14 .

Zasady przewodnie

W pracy na rzecz osiągnięcia celów, określaniu niezbędnych działań i przypisywaniu ról oraz zakresu odpowiedzialności odnośnym podmiotom lub mechanizmom zastosowano następujące zasady przewodnie, których należy zatem przestrzegać przy przygotowywaniu przyszłych wytycznych wykonawczych.

Proporcjonalność: Przeważająca większość incydentów cybernetycznych uderzających w państwa członkowskie mieści się w kategorii znacznie niższej niż wszystko, co mogłoby zostać uznane za kryzys na szczeblu krajowym, nie mówiąc już o szczeblu europejskim. Podstawą współpracy państw członkowskich w odpowiedzi na tego rodzaju incydenty jest sieć zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) ustanowiona dyrektywą w sprawie bezpieczeństwa sieci i informacji 15 . Krajowe zespoły współpracują i wymieniają się informacjami na zasadzie dobrowolności i codziennie, w razie potrzeby, reagując na incydenty cybernetyczne, które uderzają w co najmniej jedno państwo członkowskie, zgodnie ze standardowymi procedurami operacyjnymi (SPO) sieci CSIRT. Dlatego w planie należy w pełni wykorzystywać te standardowe procedury i uwzględnić w nim wszelkie dodatkowe konkretne działania odnoszące się do kryzysu cybernetycznego.

Pomocniczość: Zasada pomocniczości ma kluczowe znaczenie. Na państwach członkowskich spoczywa główna odpowiedzialność za reagowanie w przypadku uderzających w nie incydentów cybernetycznych na dużą skalę bądź kryzysów cybernetycznych. Komisja, Europejska Służba Działań Zewnętrznych i inne unijne instytucje, urzędy, agencje oraz organy mają jednak do odegrania ważną rolę. Rola ta jest jasno określona w ramach zintegrowanych uzgodnień UE dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych (IPCR), ale wynika również z przepisów prawa unijnego bądź po prostu z faktu, że incydenty i kryzysy cybernetyczne mogą mieć wpływ na wszystkie obszary działalności w obrębie jednolitego rynku, bezpieczeństwa i stosunków międzynarodowych Unii oraz samych instytucji.

Komplementarność: W planie działania w pełni uwzględniono istniejące mechanizmy zarządzania kryzysowego na szczeblu unijnym, a mianowicie zintegrowane uzgodnienia UE dotyczące reagowania na szczeblu politycznym w sytuacjach kryzysowych (IPCR), system ARGUS, mechanizm reagowania kryzysowego ESDZ, włączono do niego nowe struktury i mechanizmy ustanowione dyrektywą w sprawie bezpieczeństwa sieci i informacji (dyrektywą NIS), a mianowicie sieć zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), a także stosowne agencje i jednostki organizacyjne, tj. Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), Europejskie Centrum ds. Walki z Cyberprzestępczością w Europolu (Europol/EC3), Centrum Analiz Wywiadowczych UE (INTCEN), Dyrekcję ds. Wywiadu w Sztabie Wojskowym UE (EUMS INT) oraz Centrum Sytuacyjne (SITROOM) w INTCEN, działające wspólnie jako SIAC (pojedyncza komórka analiz wywiadowczych); komórkę UE ds. syntezy informacji o zagrożeniach hybrydowych (działającą przy INTCEN); oraz zespół reagowania na incydenty komputerowe w instytucjach, organach i agencjach UE (CERT-UE). Dzięki temu plan powinien również zapewnić, aby ich współdziałanie i współpraca osiągnęły maksymalny poziom komplementarności i możliwie najmniejsze nakładanie się działań.

Poufność informacji: Wszelka wymiana informacji w ramach planu działania musi być zgodna z obowiązującymi zasadami bezpieczeństwa 16 , ochrony danych osobowych i kodu poufności TLP 17 . Przy wymianie informacji niejawnych, niezależnie od zastosowanego systemu klasyfikacji, należy korzystać z dostępnych akredytowanych narzędzi 18 . W odniesieniu do przetwarzania danych osobowych przestrzegane będą mające zastosowanie przepisy unijne, w szczególności ogólne rozporządzenie o ochronie danych 19 , dyrektywa o prywatności i łączności elektronicznej 20 oraz rozporządzenie 21 "w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy, biura i agencje unijne i swobodnego przepływu tych danych".

Zasadnicze cele

Współpraca w ramach planu przebiega z uwzględnieniem trzech wspomnianych wyżej poziomów - politycznego, operacyjnego i technicznego. Na każdym z nich współpraca może obejmować zarówno wymianę informacji, jak też wspólne działania, a celem jej jest osiągnięcie poniższych celów zasadniczych.

Umożliwienie skutecznego reagowania: Reagowanie może przybierać różne formy, od wskazania środków technicznych, które mogą dotyczyć co najmniej dwóch jednostek wspólnie badających techniczne przyczyny incydentu (np. analiza złośliwego oprogramowania), lub określenia sposobów, w jaki te organizacje mogą ocenić, czy zostały poszkodowane (np. oznaki naruszenia integralności systemu), do decyzji operacyjnych o zastosowaniu takich środków technicznych oraz - na poziomie politycznym - zadecydowania o uruchomieniu innych instrumentów, takich jak unijne działania dyplomatyczne w odpowiedzi na szkodliwe działania cybernetyczne ("zestaw narzędzi dla dyplomacji cyfrowej") bądź unijny protokół operacyjny do celów przeciwdziałania zagrożeniom hybrydowym -w zależności od incydentu.

Wspólna orientacja sytuacyjna: Dostatecznie dobre rozumienie wydarzeń w miarę ich rozwoju przez wszystkie odnośne zainteresowane strony na wszystkich trzech poziomach (technicznym, operacyjnym, politycznym) ma decydujące znaczenie dla skoordynowanego reagowania. Orientacja sytuacyjna może obejmować elementy technologiczne dotyczące przyczyn, a także skutki i źródła incydentu. Ponieważ incydenty cybernetyczne mogą uderzać w różne sektory (finanse, transport, energia, ochrona zdrowia itp.), konieczne jest, aby stosowne informacje w odpowiednim formacie na czas docierały do wszystkich odnośnych zainteresowanych stron.

Zgoda co do kluczowych publicznych działań komunikacyjnych 22 : Komunikacja w sytuacji kryzysowej odgrywa istotna rolę w ograniczaniu negatywnych skutków incydentów i kryzysów cybernetycznych, może być też jednak stosowana jako środek wywierania wpływu na zachowanie (potencjalnych) agresorów. Odpowiedni przekaz może też służyć do jasnego zasygnalizowania prawdopodobnych konsekwencji reakcji dyplomatycznej w celu wywarcia wpływu na zachowanie agresora. Dostosowanie publicznych działań komunikacyjnych, mających na celu ograniczanie negatywnych skutków incydentów, i kryzysów cybernetycznych oraz przekazów, służących do wywierania wpływu na agresora, ma zasadnicze znaczenie dla skuteczności reagowania politycznego. W obszarze bezpieczeństwa cybernetycznego szczególnie istotne jest rozpowszechnianie dokładnych możliwych do zastosowania informacji o tym, w jaki sposób społeczeństwo może ograniczać skutki incydentu (np. przez zastosowanie poprawki zabezpieczeń, podejmowanie działań uzupełniających w celu uniknięcia zagrożenia itp.).

WSPÓŁPRACA MIĘDZY PAŃSTWAMI CZŁONKOWSKIMI ORAZ MIĘDZY PAŃSTWAMI CZŁONKOWSKIMI A PODMIOTAMI UNIJNYMI NA POZIOMIE TECHNICZNYM, OPERACYJNYM I STRATEGICZNO-POLITYCZNYM

Skuteczne reagowanie na szczeblu unijnym na incydenty cybernetyczne na dużą skalę lub kryzysy cybernetyczne polega na skutecznej współpracy technicznej, operacyjnej i strategiczno-politycznej.

Na każdym poziomie zaangażowane podmioty powinny wykonywać określone działania na rzecz osiągnięcia trzech zasadniczych celów, którymi są:

Podczas trwania incydentu lub kryzysu jednostki na niższym poziomie współpracy ostrzegają, informują i wspierają jednostki na poziomie wyższym; te z kolei zapewnią niższym poziomom wytyczne 23 i decyzje, w zależności od potrzeb.

Współpraca na poziomie technicznym

Zakres działań:

Potencjalne zaangażowane podmioty

Na poziomie technicznym centralnym mechanizmem współpracy w ramach planu działania jest sieć CSIRT, której przewodniczy prezydencja i której sekretariat zapewnia ENISA.

Komisja Europejska:

Wspólna orientacja sytuacyjna:

Jako element regularnej współpracy na poziomie technicznym służącej wzmocnieniu unijnej orientacji sytuacyjnej ENISA powinna regularnie przygotowywać techniczny raport sytuacyjny na temat bezpieczeństwa cybernetycznego w UE dotyczący incydentów i zagrożeń, oparty na publicznie dostępnych informacjach, swojej własnej analizie i sprawozdaniach przekazanych przez CSIRT państw członkowskich (na zasadzie dobrowolności) lub pojedyncze punkty kontaktowe powołane zgodnie z dyrektywą w sprawie bezpieczeństwa sieci i informacji, Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3) przy Europolu i CERT-UE oraz - w stosownych przypadkach -Centrum Analiz Wywiadowczych UE (INTCEN) Europejskiej Służby Działań Zewnętrznych (ESDZ). Raport ten powinien zostać udostępniony odpowiednim organom Rady, Komisji, Wysokiemu Przedstawicielowi/wiceprzewodniczącemu Komisji oraz sieci CSIRT.

Reagowanie:

Publiczne działania komunikacyjne:

Współpraca na poziomie operacyjnym

Zakres działań:

Potencjalne zaangażowane podmioty

Orientacja sytuacyjna:

w przypadku aktywowania IPCR:

służba odpowiedzialna Komisji lub ESDZ jako podmiot prowadzący zintegrowaną orientację i analizę sytuacyjną przygotowuje sprawozdanie na temat zintegrowanej orientacji i analizy sytuacyjnej zawierające materiały dostarczone przez ENISA, sieć CSIRT, Europol/EC3, EUMS INT, INTCEN oraz wszystkie pozostałe odnośne podmioty. Sprawozdanie na temat zintegrowanej orientacji i analizy sytuacyjnej stanowi ogólnounijną ocenę opartą na korelacji między incydentami technicznymi i oceną sytuacji kryzysowej (analiza zagrożeń, ocena ryzyka, pozatechniczne konsekwencje i skutki, pozacybernetyczne aspekty incydentu lub kryzysu itp.), która jest dostosowana do potrzeb poziomów operacyjnych i politycznych.

Reagowanie na żądanie z poziomu politycznego):

Publiczne działania komunikacyjne:

Współpraca na poziomie strategiczno-politycznym

Potencjalne zaangażowane podmioty:

Zakres działań: Strategiczne i polityczne zarządzanie zarówno cybernetycznymi, jak i pozacybernetycznymi aspektami kryzysu z uwzględnieniem środków zgodnie z ramami wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania cybernetyczne.

Wspólna orientacja sytuacyjna:

Reagowanie:

Publiczne działania komunikacyjne:

Podejmowanie decyzji o wspólnej strategii komunikacyjnej skierowanej do opinii publicznej;

SKOORDYNOWANE Z PAŃSTWAMI CZŁONKOWSKIMI REAGOWANIE NA SZCZEBLU UNIJNYM W RAMACH USTALEŃ IPCR

Zgodnie z zasadą komplementarności działań na szczeblu unijnym w niniejszej sekcji wprowadzono i omówiono w szczególności zasadniczy cel i zakres obowiązków oraz działań organów państw członkowskich, sieci CSIRT, ENISA, CERT-UE, Europol/EC3, INTCEN, komórki UE ds. syntezy informacji o zagrożeniach hybrydowych oraz działającej przy Radzie Horyzontalnej Grupy Roboczej ds. Cyberprzestrzeni w ramach procesu IPCR. Od podmiotów oczekuje się działania zgodnie z ustalonymi procedurami na szczeblu unijnym i krajowym.

Należy koniecznie zwrócić uwagę, że - jak przedstawiono na ilustracji 1 - niezależnie od aktywowania unijnych mechanizmów zarządzania kryzysowego działania na szczeblu krajowym oraz współpraca z siecią CSIRT (w razie potrzeby) odbywają się podczas trwania każdego incydentu/kryzysu zgodnie z zasadami pomocniczości i proporcjonalności.

Ilustracja 1

Reagowanie na incydent/kryzys cybernetyczny na szczeblu unijnym

grafika

Wszystkie opisane poniżej działania muszą być przeprowadzane z zachowaniem standardowych procedur operacyjnych/zasad zastosowanych mechanizmów współpracy i zgodnie z ustalonymi mandatami i kompetencjami poszczególnych podmiotów i instytucji. Te procedury/zasady mogą wymagać pewnych uzupełnień lub zmian, prowadzących do osiągnięcia jak najlepszej współpracy i skutecznego reagowania na incydenty cybernetyczne na dużą skalę i kryzysy cybernetyczne.

Nie wszystkie wymienione niżej podmioty mogą być zobowiązane do podjęcia działań w każdym przypadku wystąpienia incydentu. W planie działania i odnośnych standardowych procedurach operacyjnych mechanizmów współpracy należy jednak przewidywać możliwość ich zaangażowania.

Z uwagi na zróżnicowanie stopnia potencjalnego wpływu incydentu lub kryzysu cybernetycznego na społeczeństwo wysoki poziom elastyczności w odniesieniu do zaangażowania podmiotów sektorowych na każdym poziomie i każde stosowne reagowanie będzie zależeć od działań zaradczych zarówno o charakterze cybernetycznym, jak i pozacybernetycznym.

Zarządzanie kryzysowe w sytuacji kryzysu cybernetycznego- włączenie bezpieczeństwa cybernetycznego do procesu IPCR

Ustalenia ICPR, opisane w standardowych procedurach operacyjnych IPCR 36 , są zgodne na poszczególnych etapach z opisanymi poniżej krokami (zastosowanie niektórych z tych kroków zależy od sytuacji).

Na każdym etapie określa się działania odnoszące się do bezpieczeństwa cybernetycznego i podmioty. Dla wygody czytelnika na każdym etapie zamieszczono fragment standardowych procedur operacyjnych IPCR, po czym wyszczególniono działania nałożone niniejszym planem. Takie podejście (krok po kroku) pozwala również na jednoznaczne wskazanie istniejących luk w ramach niezbędnego potencjału i procedur, które to luki utrudniają skuteczne reagowanie na kryzysy cybernetyczne.

Na ilustracji 2 (poniżej 37 ) przedstawiono w formie graficznej przebieg procesu IPCR; nowo wprowadzone elementy są zaznaczone na niebiesko.

Ilustracja 2

Elementy odnoszące się do bezpieczeństwa cybernetycznego w IPCR

grafika

Uwaga: Ze względu na charakter zagrożeń hybrydowych w cyberprzestrzeni, które mają pozostać poniżej progu rozpoznawalnego kryzysu, UE musi podejmować działania zapobiegawcze i służące zapewnieniu gotowości. Zadaniem komórki UE ds. syntezy informacji o zagrożeniach hybrydowych jest szybkie analizowanie odnośnych incydentów i informowanie odpowiednich struktur koordynujących. Regularne raportowanie przez tę komórkę może zapewnić decydentom sektorowym informacje sprzyjające zapewnieniu gotowości.

Etap 1 - Regularne monitorowanie sektorowe i ostrzeganie: Istniejące regularne sektorowe raporty sytuacyjne i powiadomienia dostarczają prezydencji Rady wskazówek na temat rozwoju sytuacji kryzysowej i jej ewentualnych zmian.

Plan działania: Unijne monitorowanie sytuacji/raportowanie w zakresie bezpieczeństwa cybernetycznego

regularne techniczne raporty sytuacyjne na temat bezpieczeństwa cybernetycznego w UE, dotyczące incydentów cybernetycznych i zagrożeń, będą opracowywane przez ENISA w oparciu o publicznie dostępne informacje, analizę własną i sprawozdania przekazane przez CSIRT państw członkowskich (na zasadzie dobrowolności) lub pojedyncze punkty kontaktowe powołane zgodnie z dyrektywą w sprawie bezpieczeństwa sieci i informacji, Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3) przy Europolu i CERT-UE oraz - w stosownych przypadkach - Centrum Analiz Wywiadowczych UE (INTCEN) Europejskiej Służby Działań Zewnętrznych (ESDZ). Raporty te powinny zostać udostępnione odpowiednim organom Rady, Komisji oraz sieci CSIRT,

Po wykryciu incydentu

Etap 2 - Analiza i doradztwo: W oparciu o dostępne dane z monitorowania i ostrzeżenia służby Komisji, ESDZ i SGR informują się nawzajem o możliwym rozwoju wypadków, aby utrzymać gotowość do zapewnienia prezydencji doradztwa co do ewentualnej aktywacji IPCR (w całości lub w trybie wymiany informacji).

Plan działania:

ESDZ: Korzystając z prac Centrum Sytuacyjnego UE (SITROOM) oraz źródeł wywiadowczych, komórka UE ds. syntezy informacji o zagrożeniach hybrydowych zapewnia orientację sytuacyjną w zakresie faktycznych i potencjalnych zagrożeń hybrydowych uderzających w UE i jej partnerów, obejmujących zagrożenia cybernetyczne. Dlatego też w sytuacji gdy analiza i ocena wspomnianej komórki wskazują na istnienie potencjalnych zagrożeń skierowanych przeciwko państwu członkowskiemu lub krajom bądź organizacjom partnerskim, INTCEN przekazuje informacje (w pierwszej kolejności) na poziomie operacyjnym, zgodnie z ustalonymi procedurami. Na poziomie operacyjnym zostaną przygotowane zalecenia dla poziomu strategiczno-politycznego, obejmujące ewentualną aktywację ustaleń zarządzania kryzysowego w trybie monitorowania (np. mechanizm reagowania kryzysowego ESDZ lub aspekt monitorowania w ramach IPCR),

Etap 3 - Ocena sytuacji/decyzji w sprawie aktywacji IPCR: Prezydencja ocenia potrzebę koordynacji politycznej, wymiany informacji i podejmowania decyzji na szczeblu unijnym. W tym celu prezydencja może zwołać nieformalne posiedzenie okrągłego stołu. Prezydencja określa wstępnie obszary wymagające zaangażowania COREPERU lub Rady. Stanowi to podstawę wskazówek do stworzenia raportów na temat zintegrowanej orientacji i analizy sytuacyjnej (ISAA). Po uwzględnieniu cech kryzysu, jego możliwych konsekwencji oraz związanych z nim potrzeb politycznych prezydencja podejmuje decyzję co do stosowności zwołania posiedzeń odnośnych grup roboczych Rady lub COREPERU bądź KPiB.

Plan działania:

uczestnicy okrągłego stołu:

Komisja, ESDZ i SGR, w pełnym porozumieniu i przy udziale prezydencji, mogą również podjąć decyzję o aktywowaniu IPCR w trybie wymiany informacji poprzez wygenerowanie strony kryzysowej, aby przygotować grunt pod ewentualną pełną aktywację.

Etap 5 - Wytworzenie ISAA: Inicjowane jest wytworzenie raportów ISAA. Komisja/ESDZ ogłosi raport zgodnie ze standardowymi procedurami operacyjnymi ISAA i może dalej wspierać wymianę informacji na platformie internetowej IPCR lub kierować konkretne prośby o udzielenie informacji. Raporty ISAA są dostosowane do potrzeb poziomu politycznego (tj. COREPERU lub Rady) określonych przez prezydencję oraz sformułowanych w jej wskazówkach, dzięki czemu zapewniają one strategiczny ogląd sytuacji i rzeczową dyskusję na temat punktów porządku obrad określonych przez prezydencję Zgodnie ze standardowymi procedurami operacyjnymi ISAA od charakteru kryzysu cybernetycznego zależy, czy raport zostanie przygotowany przez którąś ze służb Komisji (DG CNECT, DG HOME), czy przez ESDZ.

W wyniku aktywacji IPCR prezydencja przedstawi konkretne obszary, na których należy się skoncentrować w ramach ISAA, aby zapewnić wsparcie koordynacji politycznej lub koordynacji procesu podejmowania decyzji w Radzie. Prezydencja określi też termin ogłoszenia raportu po konsultacjach ze służbami Komisji i ESDZ.

Plan działania:

Raport ISAA obejmuje materiały uzyskane od odpowiednich służb, w tym:

Zbieranie materiałów do ISAA 39 :

Etap 7 - Okrągły stół/działania przygotowawcze na potrzeby unijnej koordynacji politycznej/podejmowania decyzji: Prezydencja zwoła nieformalne posiedzenie okrągłego stołu w celu dokonania przeglądu sytuacji oraz przygotowania przeglądu spraw, na które należy zwrócić uwagę COREPERU lub Rady. Nieformalne posiedzenie okrągłego stołu będzie również forum opracowania, przeglądu i omówienia wszystkich propozycji działań, które zostaną przekazane COREPEROWI/Radzie.

Etap 8 - Koordynacja polityczna i podejmowanie decyzji na szczeblu COREPERU/Rady: Wyniki posiedzeń COREPERU/Rady dotyczą koordynacji działań w ramach reagowania na wszystkich poziomach, decyzji co do zastosowania środków nadzwyczajnych, deklaracji politycznych itp. Decyzje te stanowią również zaktualizowane wskazówki polityczno-strategiczne do tworzenia kolejnych raportów ISAA.

Plan działania:

DODATEK

ZARZĄDZANIE KRYZYSOWE, MECHANIZMY WSPÓŁPRACY I PODMIOTY NA SZCZEBLU UE

Mechanizmy zarządzania kryzysowego

Zintegrowane uzgodnienia UE dotyczące reagowania na szczeblu politycznym w sytuacjach kryzysowych (IPCR) Zintegrowane uzgodnienia UE dotyczące reagowania na szczeblu politycznym w sytuacjach kryzysowych (IPCR), przyjęte przez Radę w dniu 25 czerwca 2013 r. 40 , zostały opracowane w celu ułatwienia terminowej koordynacji i reakcji na unijnym szczeblu politycznym w przypadku poważnego kryzysu IPCR wspomagają również koordynację na poziomie politycznym w reakcji na odwołanie się do klauzuli solidarności (art. 222 TFUE), jak określono w decyzji Rady 2014/415/UE z dnia 24 czerwca 2014 r. w sprawie uzgodnień dotyczących zastosowania przez Unię klauzuli solidarności. W standardowych procedurach operacyjnych (SPO) 41 IPCR ustanowiono proces aktywacji i kolejne działania, które należy podjąć.

ARGUS: System koordynacji w sytuacji kryzysowej ustanowiony przez Komisję Europejską w 2005 r. w celu zapewnienia specjalnej procedury koordynacji w przypadku poważnego kryzysu o charakterze wielosektorowym. Jest on wspomagany przez ogólny system szybkiego ostrzegania (narzędzie informatyczne) o tej samej nazwie. W ramach systemu ARGUS przewiduje się dwa etapy; przy czym na etapie II (w przypadku poważnego kryzysu o charakterze wielosektorowym) zwoływane są spotkania Komitetu Koordynacji Kryzysowej (CCC) pod kierownictwem przewodniczącego Komisji lub komisarza, któremu powierzono to zadanie. CCC skupia przedstawicieli odnośnych dyrekcji generalnych Komisji, gabinetów i innych służb unijnych z zadaniem objęcia przewodnictwa i koordynowania reakcji Komisji na kryzys. Pod przewodnictwem zastępcy sekretarza generalnego CCC ocenia sytuację, rozważa warianty i podejmuje decyzje wykonawcze w odniesieniu do unijnych narzędzi i instrumentów w ramach kompetencji Komisji, a także zapewnia wykonanie tych decyzji 42 ⁽43 .

Mechanizm Reagowania Kryzysowego ESDZ: Mechanizm Reagowania Kryzysowego ESDZ jest zorganizowanym systemem, który umożliwia ESDZ reagowanie na sytuacje kryzysowe i wydarzenia nadzwyczajne o zewnętrznym charakterze lub istotnym wymiarze zewnętrznym - w tym na zagrożenia hybrydowe - potencjalnie lub rzeczywiście zagrażające interesom UE lub państw członkowskich. Dzięki zapewnieniu udziału właściwych urzędników Komisji oraz Sekretariatu Rady na posiedzeniach w ramach Mechanizmu Reagowania Kryzysowego ułatwione jest uzyskiwanie efektu synergii między wysiłkami dyplomatycznymi oraz działaniami w dziedzinie bezpieczeństwa i obrony a zarządzanymi przez Komisję instrumentami finansowymi i handlowymi oraz instrumentami współpracy. Komórka Kryzysowa może zostać aktywowana w czasie kryzysu.

Mechanizmy współpracy

Sieć CSIRT: Sieć zespołów reagowania na incydenty bezpieczeństwa komputerowego skupia wszystkie krajowe i rządowe zespoły (CSIRT) oraz zespół reagowania na incydenty komputerowe w instytucjach i agencjach UE (CERT-UE). Celem tej sieci jest umożliwienie i usprawnienie wymiany informacji między CSIRT na temat zagrożeń i incydentów cybernetycznych, a także współpraca w zakresie reagowania na incydenty i kryzysy cybernetyczne.

Horyzontalna Grupa Robocza Rady ds. Cyberprzestrzeni: grupę roboczą powołano, aby zapewnić strategiczną i horyzontalną koordynację zagadnień polityki cybernetycznej w Radzie i może być ona zaangażowana zarówno w działalność prawodawczą, jak też działania o innym charakterze.

Podmioty

ENISA: Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji powołano w 2004 roku. Agencja ściśle współpracuje z państwami członkowskimi i sektorem prywatnym w celu zapewnienia doradztwa i rozwiązań w takich kwestiach, jak ogólnoeuropejskie ćwiczenia w zakresie bezpieczeństwa cybernetycznego, opracowanie krajowych strategii bezpieczeństwa cybernetycznego, współpracy CSIRT i rozwijania zdolności. ENISA współpracuje bezpośrednio z CSIRT w całej UE i stanowi sekretariat sieci CSIRT.

Centrum Koordynacji Reagowania Kryzysowego (ERCC): Centrum Koordynacji Reagowania Kryzysowego w Komisji (w ramach Dyrekcji Generalnej ds. Ochrony Ludności i Pomocy Humanitarnej - DG ECHO) wspiera i koordynuje szereg działań w dziedzinie zapobiegania, zapewnienia gotowości i reagowania przez siedem dni w tygodniu, 24 godziny na dobę. Uruchomione w 2013 r.Centrum działa jako centrum reagowania kryzysowego Komisji (w powiązaniu z innymi centrami kryzysowymi UE), w tym także jako działający nieprzerwanie główny punkt kontaktowy (IPCR 24/7).

Europol/EC3: Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3), które powstało w 2013 r. w ramach Europolu, wspiera reagowanie organów ścigania na przestępczość cybernetyczną w UE. EC3 oferuje operacyjne i analityczne wsparcie dochodzeń prowadzonych w państwach członkowskich i służy jako centralny węzeł informacji kryminalnych i wywiadowczych, wspomagając operacje i dochodzenia państw członkowskich przez analizę operacyjną, koordynację i wiedzę ekspercką, a także wysokospecjalistyczny potencjał technicznego i cyfrowego wsparcia kryminalistycznego.

CERT-UE: Zespół reagowania na incydenty komputerowe w instytucjach, organach i agencjach UE (CERT-UE) ma za zadanie poprawę ochrony instytucji, organów i agencji przed atakami i zagrożeniami cybernetycznymi. Zespół jest częścią sieci CSIRT. CERT-UE dysponuje technicznymi porozumieniami w zakresie wymiany informacji na temat zagrożeń cybernetycznych z NATO CIRC, niektórymi państwami trzecimi i głównymi podmiotami gospodarczymi w dziedzinie bezpieczeństwa cybernetycznego.

Unijna wspólnota wywiadowcza obejmuje Centrum Analiz Wywiadowczych UE (INTCEN) oraz Dyrekcję ds. Wywiadu w Sztabie Wojskowym UE (EUMS INT) w ramach porozumienia w sprawie pojedynczej komórki analiz wywiadowczych (SIAC). Misja SIAC polega na dostarczaniu analiz wywiadowczych, wczesnym ostrzeganiu i zapewnianiu orientacji sytuacyjnej Wysokiemu Przedstawicielowi UE ds. Spraw zagranicznych i polityki bezpieczeństwa oraz Europejskiej Służbie Działań Zewnętrznych (ESDZ). SIAC oferuje swoje usługi różnym podmiotom decyzyjnym UE ds. wspólnej polityki zagranicznej i bezpieczeństwa (WPZiB), wspólnej polityki bezpieczeństwa i obrony (WPBiO) i zwalczania terroryzmu (CT), a także państwom członkowskim. EU INTCEN i EUMS INT nie są agencjami operacyjnymi i nie posiadają zdolności gromadzenia danych. Działalność wywiadowcza na poziomie operacyjnym pozostaje w gestii państw członkowskich. SIAC zajmuje się jedynie analizą strategiczną.

Komórka UE ds. syntezy informacji o zagrożeniach hybrydowych We wspólnym komunikacie w sprawie przeciwdziałania zagrożeniom hybrydowym z kwietnia 2016 r. wyznaczono komórkę UE ds. syntezy informacji (EU HFC) jako główny ośrodek analizy informacji na temat zagrożeń hybrydowych w UE, pochodzących ze wszelkich źródeł: jej mandat został zatwierdzony w grudniu 2016 r. przez Komisję w drodze konsultacji pomiędzy służbami. Ulokowana w INTCEN komórka wchodzi w skład SIAC i w związku z tym współpracuje z EUMS INT i ma w swoim stałym składzie wojskowego. Działanie hybrydowe polega na zamierzonym wykorzystaniu przez państwo lub podmiot niebędący państwem kombinacji wielu ukrytych lub jawnych, wojskowych lub cywilnych narzędzi i mechanizmów, takich jak ataki cybernetyczne, kampanie dezinformacyjne, działania szpiegowskie, presja ekonomiczna, wykorzystanie innych podmiotów lub inne działania wywrotowe. EU HCF współpracuje z rozległą siecią pojedynczych punktów kontaktowych (PoC), zarówno w Komisji, jak i w państwach członkowskich, aby zapewnić zintegrowaną reakcję/zaangażowanie całego sektora administracyjnego, wymagane do przeciwstawienia się różnorodnym wyzwaniom.

EU SITROOM: Centrum Sytuacyjne UE stanowi element Centrum Analiz Wywiadowczych UE (EU INTCEN) i zapewnia ESDZ zdolność operacyjną niezbędną do natychmiastowego i skutecznego reagowania na sytuacje kryzysowe. Jest to stała cywilnowojskowa komórka dyżurna, która prowadzi ogólnoświatowe monitorowanie i zapewnia orientację sytuacyjną przez siedem dni w tygodni, 24 godziny na dobę.

Odnośne instrumenty

Ramy wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania cybernetyczne: Uzgodnione w czerwcu 2017 r. ramy stanowią element unijnego podejścia do dyplomacji cyfrowej, która przyczynia się do zapobiegania konfliktom, ograniczania zagrożeń dla bezpieczeństwa cybernetycznego oraz do wzrostu stabilności w stosunkach międzynarodowych. W ramach tych w pełni wykorzystuje się środki z obszaru wspólnej polityki zagranicznej i bezpieczeństwa, w tym w razie potrzeby środki ograniczające. Zastosowanie środków określonych w ramach współpracy powinno zachęcać do współpracy, sprzyjać ograniczaniu bezpośrednich i długofalowych zagrożeń i wpływać na zachowanie odpowiedzialnego sprawcy i potencjalnych agresorów w dalszej perspektywie.

KOORDYNACJA W PRZYPADKU KRYZYSU CYBERNETYCZNEGO W RAMACH UZGODNIEŃ IPCR - HORYZONTALNA WARSTWA KOORDYNACYJNA I POLITYCZNA ESKALACJA

Ustalenia IPCR mogą być (i są) wykorzystywane do rozwiązania kwestii technicznych i operacyjnych, ale zawsze z punktu widzenia politycznego/strategicznego.

W warunkach eskalacji IPCR można zastosować odpowiednio do poziomu kryzysu poprzez przejście od trybu "monitorowania" do trybu "wymiany informacji", który jest pierwszym poziomem aktywacji IPCR, oraz do "pełnej aktywacji IPCR".

Decyzję o aktywacji w trybie pełnym podejmuje aktualna prezydencja w Radzie UE. Komisja, ESDZ i SGR mogą aktywować IPCR w trybie wymiany informacji. W trybie monitorowania i wymiany informacji mogą zostać uruchomione różne poziomy wymiany informacji, przy czym w trybie wymiany informacji obowiązuje wytwarzanie

raportów ISAA. Przy pełnej aktywacji IPCR do zestawu działań dochodzą posiedzenia okrągłego stołu, w których uczestniczy prezydencja (z reguły przewodniczący COREPERU II lub ekspert w danej dziedzinie w randze radcy Stałego Przedstawicielstwa, wyjątkowo posiedzenia okrągłego stołu odbywały się na szczeblu ministerialnym).

Podmioty

Aktualna prezydencja (zwykle przewodniczący COREPERU) sprawuje przewodnictwo.

W imieniu Rady Europejskiej: gabinet Przewodniczącego,

W imieniu Komisji Europejskiej: poziom SGK/DG lub eksperci w danej dziedzinie.

W imieniu ESDZ: poziom zastępcy SGK/DG lub eksperci w danej dziedzinie.

W imieniu SGK: gabinet SG, zespół IPCR oraz odpowiedzialne DG.

Zakres działań: Nakreślenie wspólnego zintegrowanego obrazu sytuacji i zwiększenie wiedzy na temat wąskich gardeł lub niedociągnięć na każdym z trzech poziomów w celu ich rozwiązania na poziomie politycznym; przygotowanie decyzji do podjęcia w czasie posiedzenia, jeżeli wchodzą one w zakres kompetencji uczestników, lub wysunięcie propozycji działań, przekazywanych do COREPERU II i dalej do Rady.

Wspólna orientacja sytuacyjna:

(IPCR nieaktywowane): Strony IPCR na potrzeby monitorowania mogą zostać wygenerowane, aby umożliwić śledzenie rozwoju sytuacji, która może przerodzić się w kryzys z konsekwencjami dla UE.

(tryb IPCR "wymiana informacji"): Służba odpowiedzialna za ISAA przygotowuje raporty ISAA na podstawie danych przekazanych przez służby Komisji, ESDZ i państwa członkowskie (za pośrednictwem formularzy IPCR).

(pełna aktywacja IPCR): Oprócz raportów ISAA na nieformalnych posiedzeniach okrągłego stołu w sprawie IPCR spotykają się różne odnośne podmioty z państw członkowskich, Komisja, ESDZ, odnośne agencje itp., aby omawiać niedociągnięcia i wąskie gardła.

Współpraca i reagowanie:

Aktywacja/synchronizacja dodatkowych mechanizmów/instrumentów zarządzania kryzysowego, zależnie od charakteru i wpływu incydentu. Mogą to być na przykład: Unijny Mechanizm Ochrony Ludności, ramy wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania cybernetyczne lub "Wspólne ramy dotyczące przeciwdziałania zagrożeniom hybrydowym".

Przekazywanie informacji w sytuacjach kryzysowych:

Sieć IPCR narzędzi komunikacji w sytuacjach kryzysowych może zostać uruchomiona przez prezydencję po konsultacjach z właściwymi służbami Komisji, Sekretariatu Generalnego Komisji i ESDZ w celu wsparcia wytwarzania wspólnych przekazów informacyjnych lub opracowania najskuteczniejszych narzędzi komunikacji.

ZARZĄDZANIE KRYZYSOWE W PRZYPADKU KRYZYSU CYBERNETYCZNEGO W RAMACH SYSTEMU ARGUS - WYMIANA INFORMACJI W RAMACH KOMISJI EUROPEJSKIEJ

W obliczu nieoczekiwanych sytuacji kryzysowych, które wymagały działania na szczeblu europejskim, tj. ataków terrorystycznych w Madrycie (w marcu 2004 r), tsunami w Azji Południowo-Wschodniej (w grudniu 2004 r.) i ataków terrorystycznych w Londynie (w lipcu 2005 r.), Komisja ustanowiła w 2005 r. system koordynacji ARGUS, wspomagany przez ogólny system szybkiego ostrzegania o tej samej nazwie 44 ⁽45 . Jego zadaniem jest zapewnienie specjalnego procesu koordynacji w sytuacjach kryzysowych w razie poważnego kryzysu o charakterze wielosektorowym w celu umożliwienia w czasie rzeczywistym wymiany informacji związanych z kryzysem oraz zagwarantowania szybkiego podejmowania decyzji.

W systemie ARGUS określono dwa etapy, w zależności od powagi zdarzenia:

Etap I: służy do "wymiany informacji" w przypadku sytuacji kryzysowej na ograniczoną skalę

Przykłady zgłoszonych niedawno w etapie I zdarzeń obejmują pożary lasów w Portugalii i Izraelu, atak w Berlinie w 2016 r., powodzie w Albanii, huragan Matthew na Haiti oraz suszę w Boliwii. Każda DG może otworzyć etap I w przypadku gdy uzna, że sytuacja w obszarze jej kompetencji jest na tyle poważna, że należy zagwarantować wymianę informacji lub z niej korzystać. DG CNECT lub DG HOME mogą na przykład otworzyć etap I w przypadku gdy uznają, że sytuacja cybernetyczna w obszarze ich kompetencji jest na tyle poważna, że należy zagwarantować wymianę informacji lub z niej korzystać.

Etap II: jest uruchamiany w przypadku poważnego kryzysu o charakterze wielosektorowym lub też w obliczu przewidywanej bądź nieuchronnej groźby dla Unii

Na etapie II uruchamia się specjalną procedurę koordynacyjną, która umożliwia Komisji podejmowanie decyzji i szybkie, skoordynowane i spójne reagowanie na najwyższym szczeblu w obszarze jej kompetencji i we współpracy z innymi instytucjami. Działania etapu II są przewidziane w odniesieniu do poważnego kryzysu o charakterze wielosektorowym lub też w obliczu przewidywanej bądź nieuchronnej groźby jego zaistnienia. Przykłady rzeczywistych wydarzeń objętych etapem II obejmują kryzys migracyjno-uchodźczy (2015 i nadal), potrójną katastrofę w elektrowni Fukushimie (2011) i wybuch wulkanu Eyjafjallajökull w Islandii (2010).

Etap II jest uruchamiany jest przez Przewodniczącego z jego własnej inicjatywy lub na wniosek jednego z członków Komisji. Przewodniczący może przydzielić odpowiedzialność polityczną za reakcję Komisji komisarzowi odpowiedzialnemu za służby, których kryzys najmocniej dotyczy, lub zachować ją dla siebie.

W ramach etapu II przewidziane są posiedzenia nadzwyczajne Komitetu Koordynacji Kryzysowej (CCC). Są one zwoływane w imieniu Przewodniczącego lub komisarza, któremu powierzono odpowiedzialność. Posiedzenia zwołuje SG za pomocą narzędzia informatycznego ARGUS. Komitet Koordynacji Kryzysowej jest specjalną strukturą operacyjną zarządzania kryzysowego, utworzoną w celu kierowania reakcją Komisji na sytuację kryzysową oraz jej koordynowania, skupiającą przedstawicieli wszystkich odpowiednich dyrekcji generalnych Komisji, gabinetów i innych służb unijnych. Komitetowi przewodniczy zastępca sekretarza generalnego. CCC ocenia sytuację, rozważa warianty i podejmuje decyzje, a także zapewnia wykonanie decyzji i działań, jednocześnie gwarantując spójność i konsekwencję reagowania. Wsparcie dla CCC zapewnia SG.

MECHANIZM REAGOWANIA KRYZYSOWEGO ESDZ

Mechanizm Reagowania Kryzysowego (MRK) ESDZ uruchamia się w razie zaistnienia poważnej sytuacji nadzwyczajnej, dotyczącej lub w inny sposób angażującej zewnętrzny wymiar UE. MRK jest aktywowany przez zastępcę sekretarza generalnego ds. reagowania kryzysowego po konsultacji z Wysokim Przedstawicielem/wiceprzewodniczącym Komisji lub Sekretarzem Generalnym. Zastępca sekretarza generalnego ds. reagowania kryzysowego może również zostać poproszony o uruchomienie mechanizmu reagowania kryzysowego przez Wysokiego Przedstawiciela/wiceprzewodniczącego komisji lub Sekretarza Generalnego bądź innego zastępcę SG lub jednostkę mediacji (MD).

MRK przyczynia się do spójności działań UE w reakcji na sytuacje kryzysowe w ramach strategii bezpieczeństwa. W szczególności MRK ułatwia uzyskiwanie efektu synergii między wysiłkami dyplomatycznymi oraz działaniami w dziedzinie bezpieczeństwa i obrony a zarządzanymi przez Komisję instrumentami finansowymi i handlowymi oraz instrumentami współpracy.

MRK jest powiązany z ogólnym systemem reagowania kryzysowego Komisji (ARGUS) oraz zintegrowanymi uzgodnieniami UE dotyczącymi reagowania na szczeblu politycznym w sytuacjach kryzysowych (IPCR); dzięki temu w przypadku jednoczesnej aktywacji możliwe jest wykorzystanie efektu synergii. Centrum Sytuacyjne UE w ramach ESDZ działa jako główny ośrodek komunikacyjny między ESDZ a systemami reagowania kryzysowego w Radzie i Komisji.

Z reguły pierwszym działaniem związanym z zastosowaniem MRK jest zwołanie posiedzenia kryzysowego z udziałem członków kierownictwa wyższego szczebla ESDZ, Komisji i Rady, bezpośrednio dotkniętych daną sytuacją kryzysową. Uczestnicy posiedzenia kryzysowego oceniają krótkookresowe skutki sytuacji kryzysowej i mogą uzgodnić podjęcie natychmiastowych działań bądź aktywować Komórkę Kryzysową lub powołać platformę kryzysową. Kroki te mogą zostać podjęte w dowolnej kolejności.

Komórka Kryzysowa jest centrum sytuacyjnym na niewielką skalę, w którym przedstawiciele ESDZ oraz służb Komisji i Rady zaangażowanych w reagowanie na sytuację kryzysową gromadzą się, aby stale monitorować sytuację w celu zapewnienia centrali ESDZ wsparcia w podejmowaniu decyzji. Po aktywowaniu Komórka Kryzysowa funkcjonuje w trybie ciągłym (7 dni w tygodniu, 24 godziny na dobę).

Platforma kryzysowa skupia odnośne służby ESDZ, Komisji i Rady w celu dokonania oceny średnio- i długookresowych skutków sytuacji kryzysowych oraz uzgodnienia działań, które należy podjąć. Przewodnictwo sprawuje Wysoki Przedstawiciel/wiceprzewodniczący Komisji lub Sekretarz Generalny bądź zastępca sekretarza generalnego ds. reagowania kryzysowego. Platforma kryzysowa ocenia skuteczność działania UE w odniesieniu do kraju lub regionu objętego kryzysem, decyduje o zmianach środków lub podjęciu dodatkowych działań i omawia propozycje działań Rady. Platforma kryzysowa to posiedzenie ad hoc; dlatego nie jest w stanie ciągłej aktywacji.

Grupa zadaniowa składa się z przedstawicieli służb zaangażowanych w reagowanie i można ją uruchomić w celu śledzenia działań podejmowanych przez UE w ramach reagowania oraz ułatwienia ich realizacji. Grupa ta ocenia wpływ działań podejmowanych przez UE, przygotowuje dokumenty polityczne i materiały na temat wariantów, wnosi wkład w przygotowanie ram podejścia kryzysowego (PFCAs), ma udział w strategii w zakresie komunikacji i przyjmuje wszelkie inne ustalenia, które mogą ułatwić realizację unijnych działań w odpowiedzi na sytuację.

DOKUMENTY ŹRÓDŁOWE

Poniżej znajduje się wykaz dokumentów źródłowych wziętych pod uwagę przy opracowywaniu planu.

1 Konkluzje Rady w sprawie ochrony krytycznej infrastruktury teleinformatycznej "Osiągnięcia i dalsze działania na rzecz globalnego bezpieczeństwa cyberprzestrzeni", dokument 10299/11, Bruksela, 27 maja 2011 r.

2 COM(2016) 410 final z dnia 5 lipca 2016 r.

3 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194 z 19.7.2016, s. 1)..

4 Dokument 14540/16 z dnia 15 listopada 2016 r.

5 Więcej informacji na ten temat podano w sekcji 3.1 dodatku dotyczącego zarządzania kryzysowego, mechanizmów współpracy i podmiotów na szczeblu UE.

6 Ibidem.

7 Ibidem.

8 Decyzja Rady 2014/496/WPZiB z dnia 22 lipca 2014 r. w sprawie aspektów wdrażania, działania i użytkowania europejskiego globalnego systemu nawigacji satelitarnej mających wpływ na bezpieczeństwo Unii Europejskiej (Dz.U. L 219 z 25.7.2014, s. 53).

9 W opracowaniu; oczekuje się, że zostaną przyjęte do końca 2017 r.

10 Wytyczne te mają zostać opracowane do końca 2017 r.

11 Konkluzje Rady w sprawie ram wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania cybernetyczne ("zestaw narzędzi dla dyplomacji cyfrowej"), dokument 9916/17.

12 Wspólny dokument roboczy służb "Unijny protokół operacyjny do celów przeciwdziałania zagrożeniom hybrydowym" ("Unijny podręcznik taktyczny"), SWD(2016) 227 final z dnia 5 lipca 2016 r.

13 Dokument 15283/16 z dnia 6 grudnia 2016 r.

14 Decyzja 2014/496/WPZiB.

15 Dyrektywa (UE) 2016/1148.

16 Decyzja Komisji (UE, Euratom) 2015/443 z dnia 13 marca 2015 r. w sprawie bezpieczeństwa w Komisji (Dz.U. L 72 z 17.3.2015, s. 41) oraz decyzja Komisji (UE, Euratom) 2015/444 z dnia 13 marca 2015 r. w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE (Dz.U. L 72 z 17.3.2015, s. 53); decyzja Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa z dnia 19 kwietnia 2013 r. w sprawie przepisów bezpieczeństwa mających zastosowanie do Europejskiej Służby Działań Zewnętrznych; decyzja Rady 2013/488/UE z dnia 23 września 2013 r. w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE (Dz.U. L 274 z 15.10.2013, s. 1).

17 https://www.first.org/tlp/

18 W czerwcu 2016 r. te kanały przekazywania informacji obejmowały system zarządzania informacjami niejawnymi (CIMS), algorytm kodowania ACID, bezpieczny system RUE do wytwarzania, wymiany i przechowywania dokumentów unijnych opatrzonych klauzulami niejawności oraz SOLAN. Inne sposoby przesyłania np. informacji niejawnych obejmują PGP i S/MIME.

19 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).

20 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).

21 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1) - w trakcie przeglądu.

22 Należy w tym miejscu zauważyć, że publiczne działania komunikacyjne mogą dotyczyć zarówno informacji o incydencie adresowanych do społeczeństwa jako całości, jak również przekazów, zawierających informacje o bardziej technicznym bądź operacyjnym charakterze, adresowanych do sektorów o krytycznym znaczeniu lub sektorów zaatakowanych. Może to wymagać wykorzystania poufnych kanałów komunikacyjnych i zastosowania specjalnych narzędzi technicznych lub platform. W każdym przypadku komunikacja z operatorami i przekaz informacji dla szerszego ogółu społeczeństwa w danym państwie członkowskim pozostaje w jego gestii i jest jego obowiązkiem. Dlatego też, zgodnie z przedstawioną wyżej zasadą pomocniczości, państwa członkowskie i krajowe CSIRT ponoszą ostateczną odpowiedzialność za informacje rozpowszechniane na terytorium danego państwa i kierowane do odbiorców objętych obszarem ich kompetencji.

23 "Zezwolenie na działanie" - w warunkach kryzysu cybernetycznego szybki czas reakcji ma kluczowe znaczenie dla określenia właściwych działań zaradczych. Aby zapewnić ten szybki czas reakcji, państwo członkowskie może dobrowolnie udzielić innemu państwu członkowskiemu "zezwolenia na działanie" niezwłocznie i bez konsultacji z wyższymi poziomami lub instytucjami unijnymi i bez przechodzenia przez wszystkie normalnie wymagane oficjalne kanały, jeśli nie jest to wymagane w danym wypadku (np. CSIRT nie musi zasięgać konsultacji z podmiotami wyższego szczebla, aby przekazać cenne informacje do CSIRT w innym państwie członkowskim).

24 "Postępowanie w przypadku incydentu" oznacza wszystkie procedury umożliwiające wykrywanie i analizowanie incydentu, ograniczenie jego skutków oraz reagowanie na niego.

25 W zależności od charakteru i skutków incydentu w różnych sektorach działalności (finanse, transport, energia, ochrona zdrowia itp.) zaangażowane są właściwe agencje lub organy UE.

26 Raport sytuacyjny na temat incydentu cybernetycznego w UE jest agregacją raportów krajowych dostarczonych przez krajowe CSIRT. Format raportu powinien być opisany w standardowych procedurach operacyjnych (SPO) sieci CSIRT.

27 Zgodnie z warunkami i procedurami określonymi w ramach prawnych programu EC3.

28 Oznaka naruszenia integralności systemu (wskaźnik kompromitacji (IOC)) - w kryminalistyce informatycznej jest to artefakt zaobserwowany w sieci lub w systemie operacyjnym, który z dużym prawdopodobieństwem wskazuje na zainfekowanie komputera. Typowymi IOC są sygnatury wirusów i adresy IP, hasze MD5 plików złośliwego oprogramowania bądź URL lub nazwy domen i serwerów typu C&C (ang. command and control) do zarządzania botnetami.

29 Wniosek dotyczący rozporządzenia w sprawie Agencji UE ds. Bezpieczeństwa Cybernetycznego ENISA, uchylenia rozporządzenia (UE) nr 526/2013 oraz certyfikacji bezpieczeństwa cybernetycznego w zakresie technologii informacyjno-komunikacyjnych, 13 września 2017 r.

30 Porady o charakterze technicznym co do przyczyn incydentu i możliwych środków zaradczych.

31 Informacje o technicznych słabych punktach, które zostały wykorzystane w celu wywarcia negatywnego wpływu na systemy IT.

32 Komitet Stałych Przedstawicieli lub COREPER (art. 240 Traktatu o funkcjonowaniu Unii Europejskiej - TFUE) odpowiada za przygotowywanie prac Rady Unii Europejskiej.

33 Komitet Polityczny i Bezpieczeństwa jest komitetem Rady Unii Europejskiej, zajmującym się wspólną polityką zagraniczną i bezpieczeństwa (WPZiB), wspomnianą w art. 38 Traktatu o Unii Europejskiej.

34 Zgodnie z warunkami i procedurami określonymi w ramach prawnych programu EC3.

35 Fundusz pomocy w cybernetycznych sytuacjach kryzysowych jest działaniem zaproponowanym we wspólnym komunikacie pt. Odporność, prewencja i obrona: budowanie silnego systemu bezpieczeństwa cybernetycznego dla UE, JOIN(2017) 450/1.

36 Z dokumentu 12607/15: "Standardowe procedury operacyjne IPCR", uzgodnionego przez grupę przyjaciół prezydencji i odnotowane przez COREPER w październiku 2015 r.

37 Obszerniejszą wersję ilustracji zamieszczono w dodatku.

38 Raport sytuacyjny na temat incydentu cybernetycznego w UE jest agregacją raportów krajowych dostarczonych przez krajowe CSIRT. Format raportu powinien być opisany w standardowych procedurach operacyjnych (SPO) sieci CSIRT.

39 Standardowe procedury operacyjne ISAA.

40 10708/13 w sprawie "Finalizacji procesu weryfikacji CCA: koordynacji działań w sytuacjach nadzwyczajnych i kryzysowych", przyjęta przez Radę w dniu 24 czerwca 2013 r.

41 12607/15 "Standardowe procedury operacyjne IPCR", uzgodnione przez grupę przyjaciół prezydencji i odnotowane przez COREPER w październiku 2015 r.

42 Przepisy Komisji w sprawie ogólnego systemu szybkiego ostrzegania "ARGUS", COM(2005) 662 final, 23 grudnia 2005 r.

43 Decyzja Komisji 2006/25/WE, Euratom z dnia 23 grudnia 2005 r. zmieniająca regulamin wewnętrzny Komisji (Dz.U. L 19 z 24.1.2006, s. 20), w sprawie ustanowienia ogólnego systemu szybkiego ostrzegania "ARGUS".

44 Komisja Europejska, dnia 23 grudnia 2005 r., Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów: Ustalenia Komisji w sprawie bezpiecznego ogólnego systemu szybkiego ostrzegania "ARGUS", COM(2005) 662 final.

45 Decyzja 2006/25/WE, Euratom.

Zmiany w prawie

Senat poprawia reformę orzecznictwa lekarskiego w ZUS

Senat zgłosił w środę poprawki do reformy orzecznictwa lekarskiego w ZUS. Zaproponował, aby w sprawach szczególnie skomplikowanych możliwe było orzekanie w drugiej instancji przez grupę trzech lekarzy orzeczników. W pozostałych sprawach, zgodnie z ustawą, orzekać będzie jeden. Teraz ustawa wróci do Sejmu.

Grażyna J. Leśniak 10.12.2025

Co się zmieni w podatkach w 2026 roku? Wciąż wiele niewiadomych

Mimo iż do 1 stycznia zostały trzy tygodnie, przedsiębiorcy wciąż nie mają pewności, które zmiany wejdą w życie w nowym roku. Brakuje m.in. rozporządzeń wykonawczych do KSeF i rozporządzenia w sprawie JPK VAT. Część ustaw nadal jest na etapie prac parlamentu lub czeka na podpis prezydenta. Wiadomo już jednak, że nie będzie dużej nowelizacji ustaw o PIT i CIT. W 2026 r. nadal będzie można korzystać na starych zasadach z ulgi mieszkaniowej i IP Box oraz sprzedać bez podatku poleasingowy samochód.

Monika Pogroszewska 10.12.2025

Maciej Berek: Do projektu MRPiPS o PIP wprowadziliśmy bardzo istotne zmiany

Komitet Stały Rady Ministrów wprowadził bardzo istotne zmiany do projektu ustawy przygotowanego przez Ministerstwo Rodziny, Pracy i Polityki Społecznej – poinformował minister Maciej Berek w czwartek wieczorem, w programie „Pytanie dnia” na antenie TVP Info. Jak poinformował, projekt nowelizacji ustawy o PIP powinien trafić do Sejmu w grudniu 2025 roku, aby prace nad nim w Parlamencie trwały w I kwartale 2026 r.

Grażyna J. Leśniak 05.12.2025

Lekarze i pielęgniarki na kontraktach „uratują” firmy przed przekształcaniem umów?

4 grudnia Komitet Stały Rady Ministrów przyjął projekt zmian w ustawie o PIP - przekazało w czwartek MRPiPS. Nie wiadomo jednak, jaki jest jego ostateczny kształt. Jeszcze w środę Ministerstwo Zdrowia informowało Komitet, że zgadza się na propozycję, by skutki rozstrzygnięć PIP i ich zakres działał na przyszłość, a skutkiem polecenia inspektora pracy nie było ustalenie istnienia stosunku pracy między stronami umowy B2B, ale ustalenie zgodności jej z prawem. Zdaniem prawników, to byłaby kontrrewolucja w stosunku do projektu resortu pracy.

Grażyna J. Leśniak 05.12.2025

Klub parlamentarny PSL-TD przeciwko projektowi ustawy o PIP

Przygotowany przez ministerstwo pracy projekt zmian w ustawie o PIP, przyznający inspektorom pracy uprawnienie do przekształcania umów cywilnoprawnych i B2B w umowy o pracę, łamie konstytucję i szkodzi polskiej gospodarce – ogłosili posłowie PSL na zorganizowanej w czwartek w Sejmie konferencji prasowej. I zażądali zdjęcia tego projektu z dzisiejszego porządku posiedzenia Komitetu Stałego Rady Ministrów.

Grażyna J. Leśniak 04.12.2025

Prezydent podpisał zakaz hodowli zwierząt na futra, ale tzw. ustawę łańcuchową zawetował

Prezydent Karol Nawrocki podpisał we wtorek ustawę z 7 listopada 2025 r. o zmianie ustawy o ochronie zwierząt. Jej celem jest wprowadzenie zakazu chowu i hodowli zwierząt futerkowych w celach komercyjnych, z wyjątkiem królika, w szczególności w celu pozyskania z nich futer lub innych części zwierząt. Zawetowana została jednak ustawa zakazująca trzymania psów na łańcuchach. Prezydent ma w tym zakresie złożyć własny projekt.

Krzysztof Koślicki 02.12.2025

Identyfikator:	Dz.U.UE.L.2017.239.36
Rodzaj:	Zalecenie
Tytuł:	Zalecenie 2017/1584 w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę
Data aktu:	13/09/2017
Data ogłoszenia:	19/09/2017
Data wejścia w życie:	13/09/2017

Zalecenie 2017/1584 w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę

ZALECENIE KOMISJI (UE) 2017/1584 z dnia 13 września 2017 r. w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę

ZAŁĄCZNIK Plan skoordynowanego reagowania na wypadek wystąpienia transgranicznych incydentów cybernetycznych na dużą skalę i kryzysów cybernetycznych

DODATEK

Zmiany w prawie

Dz.U.UE.L.2017.239.36

ZALECENIE KOMISJI (UE) 2017/1584

z dnia 13 września 2017 r.

w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę

ZAŁĄCZNIK

Plan skoordynowanego reagowania na wypadek wystąpienia transgranicznych incydentów cybernetycznych na dużą skalę i kryzysów cybernetycznych