ENISA, utworzona w 2004 r. na mocy rozporządzenia UE 460/2004 (uchylonego rozporządzeniem (UE) nr 526/2013), jest jedną z wielu agencji Unii Europejskiej, której powierzono odpowiedzialność za wspieranie ogólnounijnej kultury bezpieczeństwa informatycznego, biegłości cyfrowej, cyberodporności i gotowości do działania w cyberprzestrzeni.

Sieć informacyjna i bezpieczeństwa, w którą agencja wnosi swój wkład, została zaprojektowana z myślą o korzyściach dla społeczeństw UE jako całości, z uwzględnieniem potrzeb obywateli, przedsiębiorstw, sektora publicznego i rynku pracy.

Od momentu formalnego utworzenia, zgodnie z ustawą o bezpieczeństwie cybernetycznym, rolą ENISA jest wspieranie Komisji Europejskiej, państw członkowskich i społeczności UE w przyjmowaniu i wdrażaniu najnowszych standardów bezpieczeństwa cybernetycznego w obliczu obecnych i przyszłych zagrożeń..

Zgodnie z rozporządzeniem (UE) 2019/881 ENISA składa się z następujących organów:

Obszary działania ENISA są liczne, ale zasadniczo dzielą się na 7 głównych grup:

• Wzmocnienie pozycji społeczności — ENISA skupia krajowych i międzynarodowych interesariuszy, którzy mają wpływ na cyberbezpieczeństwo oraz zwiększa ich synergię w celu łatwiejszego upowszechniania nowych modeli cyberbezpieczeństwa.
• Polityka bezpieczeństwa cybernetycznego — ENISA zapewnia oparte na dowodach zjawiska jakościowe i ilościowe, które pomagają lepiej informować o nowych politykach w zakresie IT, innowacji i rozwoju.
• Współpraca operacyjna — ENISA wzmacnia oś pomiędzy wieloma podmiotami społeczno-gospodarczymi, które mogą mieć wpływ nowych przełomowych osiągnięć w dziedzinie ICT (lub pozostają pod wpływem tych osiągnięć), a przede
wszystkim bezpieczeństwa cybernetycznego.
• Budowanie potencjału — ENISA zapewnia przyjazne dla użytkownika i intuicyjne informacje na temat bezpieczeństwa cybernetycznego do bezpłatnego wykorzystania dla wszystkich obywateli i przedsiębiorstw prywatnych.
• Zaufane rozwiązania — ENISA monitoruje i ocenia nowe produkty i usługi cyfrowe dotyczące rozwiązań w zakresie cyberbezpieczeństwa dla społeczeństw, rynków i gospodarek.
• Prognozowanie — ENISA przyczynia się do opracowania nowych strategii łagodzenia skutków narażenia społeczeństw i gospodarek UE na cyberzagrożenia. 
• Wiedza — ENISA stanowi prężnie działające centrum wymiany najlepszych praktyk dla specjalistów i ekspertów.

Dlaczego jako przedstawiciel/-ka sektora prywatnego miałbyś/ miałabyś w ogóle interesować się ENISA? 

• Przede wszystkim, jeśli w obszarze cyberbezpieczeństwa pojawią się jakieś nowe zagadnienia, to ENISA będzie najlepszym źródłem informacji. Żadna inna platforma nie ma tylu zasobów, które traktują o cyberbezpieczeństwie na poziomie UE.

Europejska Organizacja Bezpieczeństwa Cybernetycznego (ESCO) jest jednym z głównych interesariuszy UE w dziedzinie bezpieczeństwa informatycznego i tzw. cyber-readiness. Głównym celem organizacji jest promowanie unijnego ekosystemu wspierającego badania i świadomość w dziedzinie bezpieczeństwa cybernetycznego.

• ESCO jest uprzywilejowanym partnerem zarówno Komisji Europejskiej, jak i ENISA, łącząc instytucje prywatne i publiczne działające na poziomie międzynarodowym i krajowym.

• ESCO pomaga organom i agencjom UE w opracowywaniu nowych polityk i zaleceń, które znajdują zastosowanie na poziomie krajowym.

Obszary zainteresowania ESCO są przydzielane do określonych grup roboczych (WG): 

• WG1 — Normalizacja, certyfikacja i zarządzanie łańcuchem dostaw
• WG2 — Wdrażanie rynku, inwestycje i współpraca międzynarodowa
• WG3 — Cyberodporność gospodarki, infrastruktury i usług
• WG4 — Wsparcie dla MŚP, koordynacja z krajami i regionami
• WG5 — Kształcenie, szkolenie, świadomość i zakresy cybernetyczne
• WG6 — SRIA i technologie bezpieczeństwa cybernetycznego

Każda z grup roboczych jest odpowiedzialna za publikację i promocję licznych raportów zawierających wiele przydatnych informacji. 

Analizy ESCO są rzetelne i wiarygodne, a odbiorcy mają do nich bezpłatny dostęp i mogą uzyskać wgląd w praktyczne opracowania wielu różnych obszarów zainteresowania, którymi zajmuje się ESCO. 

Szczególnie polecamy Ci dział Publikacje, warto oczywiście zapoznać się także z pozostałymi działaniami prowadzonymi przez organizację.

W grudniu 2020 r. Komisja Europejska i Wysoki Przedstawiciel Unii ds. Zagranicznych i Polityki Bezpieczeństwa zainicjowali nową unijną strategię bezpieczeństwa cybernetycznego na dekadę cyfrową (2019-2024).

Strategia ta stanowi kluczowy element 3 innych długoterminowych priorytetów UE (Cyfrowa przyszłość Europy, Europejski plan naprawy gospodarczej oraz strategia UE na rzecz Unii Bezpieczeństwa) i odpowiada na potrzebę zwiększenia gotowości technologicznej i konkurencyjności społeczeństw i gospodarek UE.

Unijna odporność na zagrożenia cybernetyczne stanowi centralny element nowej strategii bezpieczeństwa cybernetycznego i umożliwia państwom członkowskim UE przyjęcie i wdrożenie nowych norm wydajności w celu zagwarantowania bezpiecznego środowiska cyfrowego dla ich obywateli i firm. Strategia ta opiera się na 3 kluczowych filarach: odporności, zdolności operacyjnej i współpracy międzynarodowej.

Odporność, suwerenność technologiczna i przywództwo to pierwszy element nowej strategii bezpieczeństwa cybernetycznego. 

W ten sposób Komisja Europejska chce promować nowe normy jakości w zakresie bezpieczeństwa sieci informatycznych krytycznych infrastruktur i usług krajowych, takich jak systemy finansowe i zdrowia publicznego. 

Szczególnie interesujący jest wymiar edukacyjny i szkoleniowy, ponieważ w ramach tego filaru Komisja Europejska przewidziała specjalne środki wsparcia dla MŚP i organizacji prywatnych, takie jak:

Przez zdolność operacyjną rozumiemy adekwatność i skuteczność państw członkowskich UE w ocenie, zapobieganiu oraz reagowaniu na cyberzagrożenia. 

W tym sensie zarówno Komisja Europejska, jak i Wysocy Przedstawiciele zwracają szczególną uwagę na podstawowy cel, jakim jest ochrona przed złośliwymi atakami na wszystkie infrastruktury pełniące krytyczne role we współczesnych społeczeństwach oraz przed atakami, które mają wpływ na procesy demokratyczne, infrastrukturę łańcuchów dostaw itp.

Państwa członkowskie są także zachęcane do nawiązywania nowych międzynarodowych współprac jako jednego z instrumentów służących budowie nowego unijnego ekosystemu cybernetycznego.

Odnowiona strategia dotycząca bezpieczeństwa cybernetycznego zostanie wdrożona we współpracy z międzynarodowymi interesariuszami w celu zapewnienia globalnej stabilności. 

Komisja Europejska planuje zintensyfikować dialog z państwami trzecimi i dużymi organizacjami międzynarodowymi, które mogą okazać się niezwykle pomocne w tworzeniu globalnej, skoncentrowanej na społeczności agendy na rzecz bezpieczeństwa informatycznego. 

Grupy interesariuszy będą reprezentować partnerów instytucjonalnych Komisji Europejskiej w trakcie tego bezprecedensowego siedmioletniego programowania działań i środków wsparcia.

Dyrektywa NIS jest jednym z najważniejszych aktów prawnych regulujących kwestię wysokiego wspólnego poziomu bezpieczeństwa cybernetycznego i systemu informatycznego w całej Unii Europejskiej.

Przyjęta w 2016 r. dyrektywa daje każdemu państwu członkowskiemu pewien stopień autonomii w zakresie jej stosowania na poziomie krajowym, z uwzględnieniem szczególnych okoliczności i czynników kontekstowych. 

Obywatele mogą śledzić stan wdrożenia dyrektywy, zapoznając się z aktualnym stanem jej transpozycji.

• ZDOLNOŚCI KRAJOWE

Państwa członkowskie UE są zobowiązane do opracowania określonych standardów działania w zakresie bezpieczeństwa cybernetycznego, zarówno pod względem zdolności, jak i sieci wsparcia (np. krajowy CSIRT - Computer Security Incident Response Team).

• WSPÓŁPRACA TRANSGRANICZNA

Państwa członkowskie UE są zobowiązane do ustanowienia solidnej i długoterminowej współpracy instytucjonalnej z zainteresowanymi podmiotami zewnętrznymi, takimi jak CSIRT i grupa współpracy w zakresie bezpieczeństwa sieci i informacji, do której należy ENISA.

• KRAJOWY NADZÓR NAD SEKTORAMI KRYTYCZNYMI

Państwa członkowskie UE są zobowiązane do prowadzenia szczegółowego nadzoru ex-post i ex-ante nad cybergotowością usług i infrastruktur krytycznych.

Na początku 2021 r. Komisja Europejska przedstawiła wniosek w sprawie zmiany dyrektywy w sprawie bezpieczeństwa sieci i informacji, aby w konkretny sposób zareagować na nową falę cyberzagrożeń, która w ostatnich kilku latach wpłynęła na światowe rynki i społeczeństwa.

Ataki cybernetyczne, oprócz tego, że są jedną z najszybciej rozwijających się form przestępczości na świecie, rosną również pod względem skali, kosztów i wyrafinowania. Według najnowszych prognoz, globalne koszty szkód spowodowanych przez ransomware osiągną 20 mld USD do 2021 r., czyli 57 razy więcej niż w 2015 r. [...] Biorąc pod uwagę rosnącą liczbę i koszty ataków cybernetycznych, na całym świecie rosną również wydatki na bezpieczeństwo informacji. Globalny rynek bezpieczeństwa jest obecnie wart około 150 mld USD, przy czym wiele osób przewiduje, że w 2023 r. wartość ta wzrośnie do 208 mld USD, a w 2026 r. do 400 mld USD.

Źródło: Parlament Europejski, dyrektywa NIS2

Obecnie dyrektywa NIS2 przechodzi przez zwykły proces kształtowania polityki w instytucjach UE (ciągły przegląd przeprowadzany jest przez wpływowe grupy interesariuszy).

Program strategiczny UE na lata 2019-2024 obejmuje sześć głównych priorytetów (tj. filarów):

• Europejski Zielony Ład
• Europa dostosowana do ery cyfrowej
• Gospodarka, która pracuje dla ludzi 
• Silniejsza Europa w świecie
• Promowanie naszego europejskiego stylu życia
• Nowy impuls dla europejskiej demokracji

Dla każdego z tych filarów przewidziano konkretne poddziałania, przy czym bezpieczeństwo cybernetyczne wchodzi w zakres obszaru "Europe fot to the digital age" w ramach obu filarów: Shaping Europe's digital future  oraz Europe’s Digital Decade: digital targets for 2030.

Badania, innowacje i rozwój technologii informatycznych w dziedzinie cyberbezpieczeństwa są głównym przedmiotem programu "Horyzont Europa" na lata 2021-2027 - największego unijnego programu na rzecz badań i innowacji o łącznym budżecie 95,5 mld euro.

Bezpieczeństwo cybernetyczne należy do grupy Bezpieczeństwo cywilne dla społeczeństwa, wraz ze społeczeństwami odpornymi na klęski żywiołowe, ochroną i bezpieczeństwem. Oczekuje się, że projekty w ramach tego komponentu współfinansowania spełnią jedno (lub więcej) z następujących oddziaływań (str. 114-115 przewodnika):

Wzmocnienie zdolności UE w zakresie bezpieczeństwa cybernetycznego i suwerenności Unii Europejskiej w dziedzinie technologii cyfrowych

Bezpieczeństwo cybernetyczne stanowi jeden z głównych obszarów zainteresowania programu DIGITAL Europe.

Program ten dotyczy zarówno zapotrzebowania na nową i zaawansowaną technologicznie infrastrukturę, jak i braków w umiejętnościach oraz rozwoju zawodowego specjalistów zatrudnionych

w tym sektorze. Konkretne cele to:

Źródło: Bezpieczeństwo cybernetyczne w programie DIGITAL Europe - cele operacyjne

Główne wnioski