Decyduje się kształt cyberbezpieczeństwa UE

Piątek, 1 maja 2015 (18:27)

W Strasburgu odbyły się nieformalne negocjacje mające zbliżyć stanowiska Rady UE i Parlamentu Europejskiego. Podjęto próbę porozumienia się na nowo w tej ważnej dla obywateli sprawie. Komisja Europejska przedstawiła projekt przepisów już ponad dwa lata temu.

Wszechobecność technologii informatycznych w takich dziedzinach jak energetyka, transport, zdrowie czy finanse sprawia, że bezpieczeństwo sieci teleinformatycznych stało się warunkiem dobrego funkcjonowania gospodarki i życia społecznego.

Systemy teleinformatyczne są stale narażone na incydenty zagrażające bezpieczeństwu. Mogą to być ludzkie błędy, zjawiska naturalne, awarie techniczne, ale też ataki hakerów. Wiele systemów działa w różnych krajach, rozmaite usługi internetowe świadczone są transgranicznie. Incydent związany z bezpieczeństwem sieci i informacji w jednym państwie może mieć wpływ na bezpieczeństwo innych państw. Biorąc pod uwagę transgraniczny charakter internetu oraz unijne swobody przepływu towarów, kapitału, usług i osób, cyberbezpieczeństwo wymaga uregulowań na poziomie europejskim.

Obecnie przepisy unijne zobowiązują jedynie przedsiębiorców telekomunikacyjnych (w przypadku Polski są to zarówno dostawcy usług telekomunikacyjnych, jak i operatorzy infrastruktury telekomunikacyjnej) do zapewnienia odpowiedniego poziomu bezpieczeństwa cybernetycznego.

Kością niezgody w dyskutowanej przez UE dyrektywie jest m.in. zakres obowiązywania przepisów, czyli wskazanie, kogo będą one dotyczyły. Parlament uważa np., że powinno się wyłączyć z dyrektywy dostawców usług świadczonych drogą elektroniczną – takich jak sklepy z aplikacjami i platformy handlu elektronicznego, wyszukiwarki czy portale społecznościowe – natomiast należy skupić się na podmiotach gospodarczych świadczących usługi w sektorach energetyki i transportu oraz usługi związane z opieką zdrowotną i infrastrukturą rynków finansowych. Podmioty takie mają być jednocześnie zobowiązane do zgłaszania odpowiednim organom incydentów cybernetycznych, a państwa członkowskie mają dzielić się takimi informacjami, by zapobiegać podobnym incydentom u siebie. Także wśród państw członkowskich panują rozbieżne poglądy na ten temat. Duże państwa, takie jak Niemcy, Francja, Hiszpania i Włochy, chcą włączenia platform cyfrowych do przepisów, natomiast kraje takie jak Polska, Wielka Brytania, Czechy, Szwecja czy Estonia – już niekoniecznie.

Dla Polski kluczowe są dwie sprawy: z jednej strony jak najszybsze przyjęcie dyrektywy, by można było szybko rozpocząć współpracę, a z drugiej – ujęcie w dyrektywie tylko podmiotów świadczących rzeczywiście usługi o kluczowym znaczeniu, by nie obciążać krajowych instytucji niepotrzebnymi działaniami. Komisja Europejska ma przedstawić wkrótce pakiet dotyczący jednolitego rynku cyfrowego i zapewne znajdą się tam takie zagadnienia, jak regulowanie platform cyfrowych. Wyłączenie zagadnień platform cyfrowych z dyskusji o przepisach bezpieczeństwa cybernetycznego przyspieszyłoby znacznie prace nad przepisami. A czas nagli. Dla porównania Chiny dysponują prawdziwą armią specjalistów ds. bezpieczeństwa cybernetycznego, zatrudniającą 150 tys. osób. W Unii szacuje się, że te siły są nawet 100 razy mniejsze.

Rada i Parlament mają odmienne zdanie także na temat współpracy między państwami członkowskimi. Kraje unijne nie bardzo mają ochotę na to, by ich współpraca była obowiązkowa; ich zdaniem, powinna być dobrowolna, tak jak dotychczas. Ale czysto dobrowolne podejście nie zapewnia wystarczającej ochrony przed incydentami zagrażającymi bezpieczeństwu sieci. Co więcej, w praktyce funkcjonuje klub instytucji z wysoko rozwiniętych państw, który nie dopuszcza do współpracy instytucji z innych krajów. Współpraca na poziomie unijnym włączałaby wszystkich na równych zasadach. PE chce właśnie, podobnie jak wiele państw członkowskich, by ta współpraca była obowiązkowa.

RS, PAP