EUROPOS KOMISIJA

Briuselis, 2022 03 22

SWD(2022) 68 final

KOMISIJOS TARNYBŲ DARBINIS DOKUMENTAS

POVEIKIO ANALIZĖS APŽVALGA

pridedamas prie

pasiūlymo dėl EUROPOS PARLAMENTO IR TARYBOS REGLAMENTO

kuriuo nustatomos priemonės aukštam bendram kibernetinio saugumo lygiui Sąjungos institucijose, įstaigose, organuose ir agentūrose užtikrinti

{COM(2022) 122 final} - {SWD(2022) 67 final}

1.Įvadas

2020 m. labai padaugėjo reikšmingų incidentų, darančių poveikį Sąjungos institucijoms, įstaigoms ir agentūroms, kuriuos sukėlė vadinamieji aukšto lygio tęstinės grėsmės (advanced persistent threat, APT) subjektai. Tai taip pat matyti iš to, kad 2020 m. CERT-EU išanalizuotų kriminalistinių vaizdų, palyginti su 2019 m., padaugėjo tris kartus, o reikšmingų incidentų skaičius, palyginti su 2018 m., išaugo daugiau nei dešimt kartų.

Tačiau kai kuriais atvejais Sąjungos institucijų, įstaigų ir agentūrų kibernetinio saugumo pajėgumai ir IT saugumo išlaidos yra labai nevienodi, todėl labai skiriasi ir Sąjungos institucijų, įstaigų ir agentūrų kibernetinio saugumo brandos lygiai. Be to, iš grėsmių padėties analizės ir IT saugumo incidentų statistikos matyti, kad kibernetinių grėsmių Sąjungos institucijoms, įstaigoms ir agentūroms tik daugės.

2.Tikslai

Nustatyti trūkumai galiausiai lemia nepakankamą kibernetinio atsparumo lygį Sąjungos institucijose, įstaigose ir agentūrose, nesuderintą aprūpinimą IT saugumo ištekliais ir nesubalansuotą IT saugumo būklę.

Teisėkūros procedūra priimamo akto tikslas būtų numatyti priemones aukštam bendram kibernetinio saugumo lygiui Sąjungos institucijose, įstaigose ir agentūrose užtikrinti. Taip būtų skatinama ir užtikrinama, kad kibernetinio saugumo branda neatsiliktų nuo spartėjančio Sąjungos institucijų, įstaigų ir agentūrų skaitmeninimo.

3.Tarpinstitucinė kibernetinio saugumo taryba ir kibernetinio saugumo sistema

Pasiūlyme dėl Tarpinstitucinės kibernetinio saugumo tarybos ir kibernetinio saugumo sistemos bus nustatytos priemonės aukštam bendram kibernetinio saugumo lygiui Sąjungos institucijose, įstaigose ir agentūrose užtikrinti, tai suteiks galimybę suderinti su sistema, kuria sprendžiami klausimai, susiję su visų Sąjungos institucijų, įstaigų ir agentūrų kibernetiniam saugumui kylančiomis grėsmėmis, taip pat bus nustatyta stebėsenos ir ataskaitų teikimo Tarpinstitucinei kibernetinio saugumo tarybai sistema.

Pasiūlymu modernizuojama CERT-EU misija ir užduotys, atsižvelgiant į pastaraisiais metais pasikeitusį ir padidėjusį Sąjungos institucijų, įstaigų ir agentūrų skaitmeninimą, taip pat į kintančią grėsmių kibernetiniam saugumui padėtį.

Tiesioginio poveikio ar poveikio biudžetui nėra nei valstybėms narėms, nei ES piliečiams.

Šio reglamento teisinis pagrindas – Sutarties dėl Europos Sąjungos veikimo (SESV) 298 straipsnis, kuriame numatyta, kad Sąjungos institucijos, įstaigos, organai ir agentūros, vykdydami savo užduotis, remiasi atvira, veiksminga ir nepriklausoma Europos administracija.

Šis pasiūlymas grindžiamas ES saugumo sąjungos strategija (COM(2020) 605 final) ir ES skaitmeninio dešimtmečio kibernetinio saugumo strategija (JOIN(2020) 18 final).

4.Išvada

Tarpinstitucinė kibernetinio saugumo taryba ir kibernetinio saugumo sistema daugumą numatytų tikslų padeda pasiekti palyginti veiksmingai, efektyviai ir suderintai su kitomis Sąjungos politikos sritimis, pritariant daugybei įvairių suinteresuotųjų subjektų. Atrinktas sprendimas yra perspektyviausia galimybė, atsižvelgiant į esamus teisinius apribojimus, kurių laikydamiesi veikiame, ir į tai, kad jei būtų pasirinktas „vienas visiems tinkantis“ metodas, nebūtų atsižvelgta į Sąjungos institucijų, įstaigų ir agentūrų dabartinės brandos lygio skirtumus, taip pat technologinės rizikos ir sudėtingumo, su kuriais jos susiduria, skirtumus.