W tych aktach prawnych ustanawia się ramy umożliwiające UE nakładanie sankcji w celu zapobiegania cyberatakom* i reagowania na cyberataki stanowiące zewnętrzne zagrożenie dla UE lub państw UE. Do tej kategorii zaliczają się także cyberataki przeciwko państwom trzecim lub organizacjom międzynarodowym, jeżeli podjęcie działań uważa się za konieczne do osiągnięcia celów UE w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa.

KLUCZOWE ZAGADNIENIA

Sankcje nakładane na wskazane osoby i podmioty

Na podstawie tych ram UE może nakładać sankcje na osoby lub podmioty odpowiedzialne za przeprowadzenie lub usiłowanie przeprowadzenia cyberataków; na osoby, które zapewniają finansowe, techniczne lub materialne wsparcie dla cyberataków, lub na osoby, które angażują się w nie w inny sposób. Sankcje mogą być także nakładane na osoby lub powiązane z nimi podmioty. Środki ograniczające obejmują zakazy wjazdu osób do UE i zamrożenie aktywów.
Osoby objęte takimi sankcjami wskazuje się w załączniku I do decyzji (WPZiB) 2019/797, zgodnie z ustaleniami Rady; zamraża się wszelkie środki pieniężne i zasoby gospodarcze należące do osób fizycznych lub prawnych, podmiotów lub organów wskazanych w załączniku I, będące ich własnością, znajdujące się w ich posiadaniu lub przez nie kontrolowane.
Państwa UE są odpowiedzialne za przyjęcie przepisów dotyczących sankcji nakładanych w przypadku naruszenia przepisów.

Cyberataki

Cyberataki objęte zakresem stosowania tego nowego systemu sankcji to cyberataki, które wywołują poważne skutki i które:

zostały przygotowane poza terytorium UE lub są przeprowadzane spoza terytorium UE; lub które
wykorzystują infrastrukturę znajdującą się poza terytorium UE; lub które
są przeprowadzane przez osoby lub podmioty mające siedzibę lub prowadzące działalność poza terytorium UE; lub które
są przeprowadzane przy wsparciu osób lub podmiotów prowadzących działalność poza terytorium UE.

Cyberataki stanowiące zagrożenie dla państw UE obejmują cyberataki na systemy informacyjne związane z:

infrastrukturą krytyczną, która jest niezbędna do utrzymania podstawowych funkcji społecznych lub zdrowia, bezpieczeństwa, ochrony i dobrobytu materialnego lub społecznego obywateli;
usługami niezbędnymi do podstawowej działalności społecznej lub gospodarczej, w szczególności w sektorze energii, transportu, bankowości, finansów, ochrony zdrowia, wody pitnej i infrastruktury cyfrowej;
krytycznymi funkcjami państwa, w szczególności w obszarze obrony, zarządzania instytucjami i ich funkcjonowania, wyborów państwowych, infrastruktury gospodarczej i cywilnej, bezpieczeństwa wewnętrznego i stosunków zewnętrznych, w tym misji dyplomatycznych;
przechowywaniem lub przetwarzaniem informacji niejawnych; lub
rządowymi zespołami reagowania kryzysowego.

OD KIEDY DECYZJA I ROZPORZĄDZENIE MAJĄ ZASTOSOWANIE?

Decyzja i rozporządzenie mają zastosowanie od dnia 18 maja 2019 r.

KONTEKST

We wspólnym komunikacie z czerwca 2018 r. wskazano, że działania podejmowane przez podmioty państwowe i niepaństwowe, takie jak cyberataki, które zakłócają gospodarkę i usługi publiczne, ukierunkowane kampanie dezinformacyjne oraz wrogie działania wojskowe, w dalszym ciągu stanowią poważne i realne zagrożenie dla UE i państw UE. Wskazano w nim obszary wymagające intensywniejszych działań w celu dalszego pogłębiania i wzmocnienia udziału UE w przeciwdziałaniu tym zagrożeniom, jak również wezwano państwa UE i Komisję do zapewnienia sprawnego przebiegu działań następczych.

W październiku 2018 r., w następstwie cyberataku przeprowadzonego przeciwko Organizacji ds. Zakazu Broni Chemicznej, Rada Europejska przyjęła konkluzje, w których wezwała do dalszego wzmacniania przez UE działań prewencyjnych, odporności i mechanizmów reagowania na zagrożenia hybrydowe, cyberzagrożenia, zagrożenia chemiczne, biologiczne, radiologiczne i jądrowe. Rada została wezwana do opracowania systemu sankcji dotyczącego cyberataków.

Zobacz również:

Odporność, prewencja i obrona: Budowa solidnego cyberbezpieczeństwa w Europie (Komisja Europejska)
Reforma cyberbezpieczeństwa w Europie (Rada Europejska i Rada Unii Europejskiej)
Cyberataki: Rada może już nakładać sankcje – Komunikat prasowy (Rada Europejska i Rada Unii Europejskiej).

KLUCZOWE POJĘCIA

Cyberataki: nieuprawnione działania obejmujące dostęp do systemów informacyjnych i ingerencję w systemy informacyjne, ingerencję w dane lub przechwytywanie danych.

GŁÓWNE DOKUMENTY

Decyzja Rady (WPZiB) 2019/797 z dnia 17 maja 2019 r. w sprawie środków ograniczających w celu zwalczania cyberataków zagrażających Unii lub jej państwom członkowskim (Dz.U. L 129I z 17.5.2019, s. 13–19)

Kolejne zmiany decyzji (WPZiB) 2019/797 zostały włączone do tekstu podstawowego. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.

Rozporządzenie Rady (UE) 2019/796 z dnia 17 maja 2019 r. w sprawie środków ograniczających w celu zwalczania cyberataków zagrażających Unii lub jej państwom członkowskim (Dz.U. L 129I z 17.5.2019, s. 1–12)

Kolejne zmiany rozporządzenia (UE) nr 2019/796 zostały włączone do tekstu podstawowego. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.

DOKUMENTY POWIĄZANE

Wspólny komunikat do Parlamentu Europejskiego, Rady Europejskiej i Rady – Zwiększenie odporności i wzmocnienie zdolności reagowania na zagrożenia hybrydowe (JOIN(2018) 16 final z 13.6.2018)

Ostatnia aktualizacja: 18.05.2022

Top