System cyberbezpieczeństwa w UE ma pewne luki

Większość krajów członkowskich UE uznaje cyberbezpieczeństwo za sprawę priorytetową – zwłaszcza odnośnie infrastruktury krytycznej. Jednak polityka w zakresie cyberbezpieczeństwa, ramy prawne i możliwości operacyjne poszczególnych krajów członkowskich znacznie się różnią, co prowadzi do poważnych luk w zabezpieczeniach - wynika z raportu opublikowanego przez BSA | The Software Alliance, który ocenia  przepisy i regulacje wszystkich 28 krajów Unii Europejskiej według 25 kryteriów uznanych za kluczowe dla skutecznej ochrony przed cyberzagrożeniami.

BSA | The Software Alliance postuluje by państwa członkowskie UE tworzyły  i utrzymywały kompleksowe ramy prawno-polityczne oparte na narodowej strategii w zakresie bezpieczeństwa, uzupełnionej planami dla sektorów.

Opublikowany przez BSA raport dowodzi, że choć Polska posiada kompleksową strategię dotyczącą cyberbezpieczeństwa, to większość rekomendacji jest nadal na etapie wdrażania. Ramy prawne dotyczące cyberbezpieczeństwa nie są więc jeszcze w pełni rozwinięte. Polska dysponuje kilkoma zespołami reagowania, w tym m.in. CERT.GOV.PL, które obejmują podmioty administracji publicznej i infrastruktury krytycznej.  

Autorzy opracownia zauważają, że niemal wszystkie kraje członkowskie utworzyły zespoły, których zadaniem jest reagowanie na incydenty naruszenia bezpieczeństwa, jednak zadania i doświadczenie tych zespołów bywają różne. Dlatego jednym z postulatów raportu jest stworzenie w krajach członkowskich UKE  jednostek operacyjneych z jasno określonym zakresem obowiązków, które będą zajmować się bezpieczeństwem komputerowym, sytuacjami kryzysowymi i reagowaniem na incydenty.

Daje się też zauważyć niepokojący brak systematycznej współpracy publiczno-prywatnej między rządami UE a podmiotami pozarządowymi i partnerami międzynarodowymi. A według autorów raportu rządy powinny budować zaufanie i pracować wspólnie z sektorem prywatnym, organizacjami pozarządowymi oraz partnerami i sojusznikami międzynarodowymi.

Jednocześnie raport ostrzega europejskie rządy przed niepotrzebnym protekcjonizmem, który może zmniejszać, zamiast zwiększać poziom cyberbezpieczeństwa. Mówiąc ściślej, kraje członkowskie powinny np. unikać niepotrzebnych lub nieuzasadnionych wymogów, które ograniczają swobodę wyboru i zwiększają koszty, takich jak: unikatowe i specyficzne dla danego kraju certyfikacje i testy, nakazy odnośnie lokalnej treści, obowiązek ujawniania poufnych informacji (na przykład kodu źródłowego lub kluczy szyfrowania) oraz ograniczenia praw własności intelektualnej dla podmiotów zagranicznych.