KOMISJA EUROPEJSKA

Bruksela, dnia 10.11.2022

JOIN(2022) 49 final

WSPÓLNY KOMUNIKAT DO PARLAMENTU EUROPEJSKIEGO I RADY

Polityka UE w zakresie cyberobrony

I. WSTĘP

Powrót wojny do Europy, w postaci niczym niesprowokowanej i nieuzasadnionej agresji wojskowej Rosji wobec Ukrainy, był sygnałem alarmowym dla wszystkich, którzy stawiają pod znakiem zapytania podejście UE do bezpieczeństwa i obrony, jej zdolność do promowania swojej wizji i obrony swoich interesów, w tym w cyberprzestrzeni. Autorytarne reżimy próbują zakwestionować i podważyć oparty na zasadach międzynarodowy ład w cyberprzestrzeni, przekształcając ją w obszar, w którym toczy się coraz więcej sporów, podobnie jak na ziemi, morzu, w powietrzu i przestrzeni kosmicznej. W ostatnich latach nasiliły się szkodliwe zachowania w cyberprzestrzeni, których źródłem są zarówno podmioty państwowe, jak i niepaństwowe; rośnie liczba cyberataków wymierzonych w wojskową i cywilną infrastrukturę krytyczną w UE, a także w prowadzone aktualnie misje i operacje.

Zacierają się granice między cywilnym i wojskowym wymiarem cyberprzestrzeni, czego dowodzą niedawne ataki na sieci energetyczne, infrastrukturę transportową i aktywa kosmiczne. Wskazują one również na współzależność między infrastrukturą techniczną i cyfrową oraz na możliwości występowania znaczących cyberincydentów zakłócających działanie infrastrukturę krytyczną lub ją uszkadzających. Przypomina nam to wyraźnie, że UE potrzebuje ścisłej współpracy wojskowej i cywilnej w cyberprzestrzeni, co pozwoli jej stać się silniejszym gwarantem bezpieczeństwa.

UE musi wziąć na siebie większą odpowiedzialność za własne bezpieczeństwo. W tym celu potrzebne są nam nowoczesne i interoperacyjne europejskie siły zbrojne. Państwa członkowskie muszą zatem, w trybie pilnym i priorytetowym, zobowiązać się do zwiększenia inwestycji w zdolności cyberobronne obejmujące pełne spektrum, w tym aktywne zdolności obronne. UE pozostaje w pełni zaangażowana w przestrzeganie prawa międzynarodowego i międzynarodowych norm w cyberprzestrzeni, powinna jednak jednocześnie zasygnalizować swoją gotowość do skoordynowanego wykorzystania określonych powyżej zdolności w przypadku cyberataku wymierzonego w którekolwiek państwo członkowskie.

W tym celu UE musi zapewnić sobie suwerenność technologiczną i cyfrową w cyberprzestrzeni. Zdolność UE do działania będzie zależała od jej zdolności do opanowania i rozwijania najnowocześniejszych technologii na potrzeby cyberbezpieczeństwa i cyberobrony w UE. Ponieważ cybertechnologie oferują znaczące możliwości podwójnego wykorzystania, należy zapewnić zdecydowanie większą synergię branży cyberbezpieczeństwa i cyberobrony, sektora badań i rozwoju oraz działań w zakresie innowacji, co pozwoli pogłębić wspomniane zdolności.

Ważnym elementem zdolności obronnych UE jest wspólna prewencja i wykrywanie. UE musi mieć zdolność do wykrywania ataków na wczesnych etapach. Dane uzyskane w ramach wykrywania muszą być przekładane na użyteczne operacyjnie dane wywiadowcze, zarówno na potrzeby cyberbezpieczeństwa, jak i cyberobrony. Taka współpraca między społecznościami zajmującymi się cyberobroną a cywilnymi społecznościami zajmującymi się cyberbezpieczeństwem stanowi podstawę poprawy wspólnej orientacji sytuacyjnej w cyberprzestrzeni i jest równie istotna dla skoordynowanego reagowania kryzysowego zarówno na szczeblu technicznym, jak i operacyjnym.

Konflikt zbrojny w Ukrainie pokazał także wartość ścisłej współpracy z sektorem prywatnym oraz konieczność dostępu do prywatnych zaufanych dostawców pełniących rolę rezerw do celów cyberbezpieczeństwa w kontekście usprawnienia reakcji w przypadku poważnych cyberataków. Należy zatem zapewnić, aby państwa członkowskie mogły polegać na wsparciu ze strony zaufanych rezerw do celów cyberbezpieczeństwa i aby odbywało się to w sposób bezpieczny i skoordynowany.

W niniejszym wspólnym komunikacie opartym na ramach polityki w zakresie cyberobrony 1 zaproponowano ambitną strategię, która pozwoli UE i jej państwom członkowskim podejmować działania w cyberprzestrzeni w sposób pewny i asertywny. Komunikat ten ma na celu zwiększenie zdolności cyberobronnych za pomocą indywidualnych lub wspólnych działań państw członkowskich oraz wzmocnienie koordynacji i współpracy między unijnymi społecznościami zajmującymi się cyberbezpieczeństwem. Ma on także na celu dążenie do zmniejszenia strategicznych zależności UE w zakresie krytycznych cybertechnologii oraz wzmocnienie europejskiej bazy technologiczno-przemysłowej sektora obronnego (EDTIB). W ramach przedmiotowej polityki zostaną określone unijne zasady gry i zaproponowane sposoby wzmocnienia solidarności leżącej u podstaw UE w sferze cyberobrony, jak również sposoby pogłębienia współpracy z sektorem prywatnym w celu usprawnienia reakcji w przypadku poważnych cyberataków. Biorąc pod uwagę międzynarodowy charakter zagrożeń cyberbezpieczeństwa, Komisja będzie rozwijać partnerstwa w obszarze cyberobrony, które przynoszą wzajemne korzyści i są dostosowane do potrzeb(z uwzględnieniem tworzenia zdolności cyberobronnych), a także zwiększać cyberodporność krajów partnerskich.

Jak zaproponowano w Strategicznym kompasie na rzecz bezpieczeństwa i obrony 2 przyjętym przez Radę w marcu 2022 r., obecna polityka w zakresie cyberobrony pozwoli zwiększyć zdolność do zapobiegania cyberatakom, ich wykrywania i powstrzymywania, obrony przed takimi atakami wymierzonymi w UE i jej państwa członkowskie oraz do usuwania ich skutków przy użyciu wszelkich dostępnych środków. Jest to zgodne z priorytetami Komisji w dziedzinie technologii cyfrowych, ambicjami określonymi w unijnej strategii cyberbezpieczeństwa z 2020 r. 3 , zapowiedzią przewodniczącej Ursuli von der Leyen w jej orędziu o stanie Unii z 2021 r. 4 oraz konkluzjami Rady z dnia 23 maja 2022 r. o rozwijaniu pozycji Unii Europejskiej w kwestiach cyberprzestrzeni 5 . Ponadto we wspólnym komunikacie z 2022 r. w sprawie luk inwestycyjnych w zakresie obronności 6 zachęcono UE i jej państwa członkowskie do rozpoczęcia prac nad uzyskaniem zdolności do cyberobrony obejmującej pełne spektrum – od badań, wykrywania i ochrony do reagowania. 

II. CYBEROBRONA UE: OCHRONA PRZED CYBERATAKAMI, ICH WYKRYWANIE, POWSTRZYMYWANIE I OBRONA PRZED NIMI

1. Wspólne działania na rzecz silniejszej cyberobrony

Cyberataki mają często charakter transgraniczny i mogą mieć fizyczny wpływ na infrastrukturę krytyczną w UE. Znaczące cyberincydenty mogą wiązać się z poważnymi szkodami, z którymi jedno państwo członkowskie lub kilka państw członkowskich samodzielnie może sobie nie poradzić. Cyberincydenty mogą także stanowić część większych ataków hybrydowych przeprowadzanych przez państwa trzecie w celu destabilizacji gospodarki i społeczeństwa, osłabienia infrastruktury krytycznej niezbędnej do zapewnienia bezpieczeństwa UE lub podważenia funkcjonowania demokracji oraz zaszkodzenia jej funkcjonowaniu, w tym w formie ataków na infrastrukturę wyborczą.

W 2018 r. UE określiła cyberprzestrzeń jako sferę operacji wojskowych. W przyjętej w 2021 r. „wojskowej wizji i strategii dotyczącej cyberprzestrzeni jako obszaru operacyjnego” 7 określono warunki ramowe i opisano cele, sposoby oraz środki potrzebne do wykorzystania cyberprzestrzeni jako sfery operacyjnej w celu wsparcia operacji UE w dziedzinie wspólnej polityki bezpieczeństwa i obrony (WPBiO). Cyberobrona i wykorzystanie powiązanych zdolności obejmujących pełne spektrum operacji wojskowych w cyberprzestrzeni stanowi prerogatywę krajową poszczególnych państw członkowskich, a jednocześnie wymaga szerszego ekosystemu, w tym silnej bazy przemysłowej wspieranej przez rozwój zdolności na poziomie UE.

Społeczność UE zajmująca się cyberobroną, składająca się z organów państw członkowskich odpowiedzialnych za obronę i wspierana przez instytucje, organy i agencje UE, ma pewne cechy szczególne w porównaniu z pozostałymi społecznościami zajmującymi się cyberbezpieczeństwem 8 i stosuje inny model zarządzania. Brak ustalonych ram wymiany informacji i współpracy między unijnymi wojskowymi zespołami reagowania na incydenty komputerowe (milCERT), w tym w celu wsparcia wojskowych misji i operacji w dziedzinie WPBiO, jest problematyczny ze względu na zwiększony poziom zagrożeń cyberbezpieczeństwa ze strony podmiotów państwowych i niepaństwowych.

Współpraca między zajmującymi się cyberbezpieczeństwem społecznościami cywilnymi, dyplomatycznymi i społecznościami organów ścigania a ich odpowiednikami w dziedzinie obronności przyniesie wszystkim zainteresowanym podmiotom dużą wartość dodaną. Kluczowe znaczenie ma zatem umożliwienie takiej współpracy przez zapewnienie odpowiednich i bezpiecznych środków wymiany informacji oraz zaangażowanie się w ćwiczenia i inne działania budujące zaufanie i wspólne zrozumienie.

Co więcej, ograniczona jest obecnie wzajemna pomoc operacyjna między państwami członkowskimi. Należy zbadać możliwość dalszego rozszerzenia koncepcji zespołów szybkiego reagowania na cyberincydenty w całej UE, wykorzystując powiązany projekt w ramach stałej współpracy strukturalnej (PESCO) o nazwie „Zespoły szybkiego reagowania na cyberincydenty i pomoc wzajemna w zakresie cyberbezpieczeństwa” (CRRT) 9 , w tym w kontekście art. 42 ust. 7 Traktatu o Unii Europejskiej (TUE) 10 („klauzula o wzajemnej pomocy”) oraz art. 222 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) 11 („klauzula solidarności”). Podobnie, jednym z wniosków wyciągniętych z udanej ukraińskiej cyberobrony w kontekście wojny z Rosją jest decydująca rola, jaką odegrał sektor prywatny. Należy zatem zbadać, w jakim stopniu sektor prywatny mógłby również przyczynić się do usprawnienia reagowania na cyberincydenty.

1.1 Wzmocnienie wspólnej orientacji sytuacyjnej i koordynacji w ramach społeczności zajmującej się obroną

Ze względu na skalę zagrożenia związanego z cyberatakami państwa członkowskie muszą dysponować jak najpełniejszą zbiorową orientacją sytuacyjną, w tym zdolnością do wczesnego wykrywania, a także zasobami umożliwiającymi właściwą reakcję i usuwanie skutków w sposób solidarny i skoordynowany.

Jeśli chodzi o wojskową orientację sytuacyjną, istnieje potrzeba ustanowienia Centrum Koordynacji UE ds. Cyberobrony (EUCDCC) wspierającego zwiększoną orientację sytuacyjną społeczności zajmującej się obroną, w tym wszystkich unijnych dowódców wojskowych w dziedzinie WPBiO. Wysoki przedstawiciel przedstawi państwom członkowskim do rozważenia wniosek dotyczący EUCDCC, który zostanie sporządzony w oparciu o projekt PESCO poświęcony Centrum koordynacji działań w zakresie cyberprzestrzeni i informacji (CIDCC) 12 . Celem wniosku będzie zapewnienie całościowej analizy cyberprzestrzeni, środowiska elektromagnetycznego i domeny poznawczej przez połączenie różnych źródeł informacji na wojskowym szczeblu strategicznym i operacyjnym. Należy ustanowić odpowiednie powiązania między EUCDCC a Centrum Analiz Wywiadowczych UE (INTCEN), jak również Dyrekcją ds. Wywiadu w Sztabie Wojskowym UE – w ramach pojedynczej komórki analiz wywiadowczych. EUCDCC powinno, w uzupełnieniu zewnętrznych źródeł informacji, ustanowić i zintegrować niezależny system aktywnych czujników informatycznych, aby wzmocnić monitorowanie węzłów będących własnością UE, służących do wspierania misji i operacji wojskowych w dziedzinie WPBiO. System ten pozwoli zapewnić większe zdolności wykrywania i może posłużyć do stworzenia nowej warstwy informacji w celu dalszego wzmocnienia bazy informacyjnej na potrzeby oceny ryzyka w cyberprzestrzeni i orientacji sytuacyjnej.

W tym celu wymagane są zdolności, które umożliwiają i zapewniają opracowanie i utrzymywanie całodobowego, operacyjnego i w miarę możliwości jednolitego obrazu cyberprzestrzeni, w tym bieżących i zbliżających się cyberoperacji zaplanowanych zarówno przez przeciwników, jak i siły przyjacielskie. Taki obraz pozwalałby na planowanie i prowadzenie misji i operacji wojskowych UE w dziedzinie WPBiO. Byłby to tym samym wkład wojska w zwiększenie świadomości i zdolności reagowania UE na szkodliwe działania w cyberprzestrzeni.

Rozwój i wzmocnienie unijnej konferencji dowódców ds. obrony cyberprzestrzeni pozwoli na zwiększenie zaufania oraz wymianę wiarygodnych i aktualnych informacji strategicznych na temat poważnych cyberincydentów 13 . Przy udziale Europejskiej Agencji Obrony (EDA) pełniącej rolę sekretariatu i przy udziale Sztabu Wojskowego Unii Europejskiej co najmniej dwa razy w roku będą miały miejsce posiedzenia wspomnianej konferencji, podczas których omawiane będą kwestie operacyjne i inne istotne tematy.

Powstanie operacyjna sieć dla milCERT (MICNET), wspierana przez EDA. Wzywa się wszystkie państwa członkowskie do uczestnictwa w sieci MICNET, która ma osiągnąć gotowość operacyjną w styczniu 2023 r.

MICNET ułatwi wymianę informacji między milCERT, co pozwoli na solidniejszą i bardziej skoordynowaną reakcję na zagrożenia cyberbezpieczeństwa wycelowane w systemy obronne w UE, w tym również systemy wykorzystywane w misjach i operacjach wojskowych w dziedzinie WPBiO. MICNET umożliwi utrzymanie w dłuższej perspektywie procesów szkoleniowych i pozwoli na określenie nowych wymogów dla społeczności milCERT. W ciągu najbliższych czterech lat EDA wraz z państwami członkowskimi opracuje infrastrukturę służącą wymianie informacji, a także powiązane narzędzia i procedury, które pozwolą wspierać wymianę informacji między milCERT. MICNET posłuży również do zapewnienia ram dla corocznych ćwiczeń mających na celu testowanie, zatwierdzanie i określanie nowych wymogów oraz rozwiązań.

1.2 Wzmocnienie koordynacji ze społecznościami cywilnymi

Sieć MICNET powinna służyć jako ramy i infrastruktura na potrzeby wymiany informacji między poszczególnymi szczeblami społeczności zajmującej się cyberobroną oraz zewnętrznymi zainteresowanymi stronami.

Gdy MICNET osiągnie wyższy poziom rozwoju, EDA będzie wspierać państwa członkowskie w badaniu możliwości współpracy z siecią zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), która skupia krajowe CSIRT i zespół reagowania na incydenty komputerowe w instytucjach, organach i agencjach UE (CERT-UE). Współpraca ta mogłaby obejmować wspólne spotkania i ćwiczenia. Należy również rozważyć zaangażowanie sektora prywatnego w odpowiednie działania związane z wymianą informacji i reagowaniem na incydenty.

Aby umożliwić skuteczniejsze zarządzanie cyberkryzysami unijna konferencja dowódców ds. obrony cyberprzestrzeni powinna współpracować z europejską siecią organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (CyCLONe), która zrzesza państwa członkowskie i Komisję w celu wspierania koordynacji cyberincydentów na dużą skalę w UE i zarządzania nimi. Współpraca ta pozwoli połączyć wojskowe doświadczenie z cywilną orientacją sytuacyjną na poziomie strategicznym i operacyjnym.

Mając na uwadze, że EUCDCC powinno stać się centralnym punktem gromadzenia, analizowania, oceny i – ostatecznie – rozpowszechniania informacji związanych z cyberobroną na potrzeby misji i operacji w dziedzinie WPBiO, może ono być również powiązane z międzyinstytucjonalną grupą zadaniową ds. kryzysów cyberbezpieczeństwa 14 , która została powołana w celu zapewnienia świadomego podejmowania decyzji i skoordynowanej reakcji europejskich instytucji, organów i agencji na szczeblu strategicznym i operacyjnym w przypadku poważnych cyberkryzysów.

EUCDCC może również prowadzić wymianę istotnych informacji z centrum ds. orientacji sytuacyjnej i analiz w zakresie cyberbezpieczeństwa, które jest obecnie tworzone na potrzeby Komisji przy wsparciu Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) i CERT-UE w celu zapewnienia analiz i skuteczniejszego wsparcia w zakresie zarządzania kryzysowego.

Poważną przeszkodą nadal pozostaje brak wspólnych lub interoperacyjnych narzędzi i platform bezpiecznej komunikacji między państwami członkowskimi a odpowiednimi europejskimi instytucjami, organami i agencjami. Komisja i odpowiednie instytucje prowadzą obecnie identyfikację istniejących narzędzi bezpiecznej komunikacji w cyberprzestrzeni. Na podstawie tej identyfikacji istniejących narzędzi Komisja przedstawi Radzie swoje zalecenia pod koniec 2022 r., w celu uzgodnienia dalszych działań,

Cybersolidarność UE z myślą o usprawnieniu wspólnego wykrywania oraz udoskonaleniu orientacji sytuacyjnej

Cywilne działania wspierające mogą dodatkowo zwiększyć wspólną orientację sytuacyjną. Społeczność zajmująca się cyberobroną będzie mogła skorzystać z wzmocnionych zdolności cywilnych w zakresie wykrywania i orientacji sytuacyjnej, rozwiniętych na potrzeby ochrony infrastruktury krytycznej UE. W tym celu Komisja przygotowuje inicjatywę promującą uruchomienie w najbliższych tygodniach pierwszej fazy unijnej infrastruktury centrów monitorowania bezpieczeństwa (SOC), która następnie zostanie rozszerzona i wdrożona na większą skalę 15 . Infrastruktura obejmowałaby w wersji ostatecznej szereg wielokrajowych platform SOC, z których każda łączyłaby ze sobą krajowe SOC, przy wsparciu środków z programu „Cyfrowa Europa” 16 uzupełniających finansowanie krajowe. Wprowadzenie zmian legislacyjnych w programie „Cyfrowa Europa” umożliwiłoby długoterminowe wsparcie finansowe na rzecz wspólnych zamówień na ultrabezpieczne narzędzia i infrastrukturę nowej generacji. Dzięki temu planowana unijna infrastruktura SOC pozwoliłaby na poprawę wspólnych zdolności w zakresie wykrywania, a to za sprawą wykorzystania najnowszych osiągnięć w obszarach sztucznej inteligencji (AI) i analizy danych, obejmujących cywilne sieci komunikacyjne. Takie generowanie użytecznych operacyjnie danych wywiadowczych dotyczących zagrożeń cyberbezpieczeństwa pozwoliłoby na wczesne ostrzeganie organów i odpowiednich podmiotów, umożliwiając im skuteczne wykrywanie poważnych incydentów i reagowanie na nie. Skala i zakres infrastruktury będą zależały od całkowitej puli środków finansowych, które będą mogły zostać uruchomione na szczeblu krajowym i unijnym zgodnie z dostępnym budżetem przewidzianym w wieloletnich ramach finansowych.

Takie wielokrajowe SOC mogłyby również umożliwić udział podmiotów obronnych, dzięki ustanowieniu „filaru obronnego” pod względem zarządzania i rodzaju udostępnianych informacji. Taki „filar obronny” opracowano by wspólnie z wysokim przedstawicielem; mógłby on obejmować specjalny mechanizm wymiany informacji z podmiotami wojskowymi (w tym EUCDCC), dla których można by opracować normy bezpieczeństwa na poziomie obronnym.

Cybersolidarność UE w zakresie gotowości, reagowania i usuwania skutków

Znaczące cyberincydenty mogą wiązać się z poważnymi szkodami, z którymi jedno państwo członkowskie lub kilka państw członkowskich samodzielnie może sobie nie poradzić. W takich przypadkach państwa członkowskie muszą mieć alternatywę w postaci wzajemnej pomocy i solidarności, w tym w kontekście art. 42 ust. 7 TUE i art. 222 TFUE. Wysoki przedstawiciel zbada, we współpracy z Komisją i państwami członkowskimi, możliwości rozszerzenia koncepcji zespołów szybkiego reagowania na cyberincydenty (CRRT), z wykorzystaniem powiązanego projektu w ramach PESCO dotyczącego CRRT. Dzięki temu możliwe będzie silniejsze wsparcie państw członkowskich UE oraz misji i operacji w obszarze WPBiO. Rolą wspomnianych zespołów byłoby zapewnienie dostosowanej i ukierunkowanej pomocy krótkoterminowej na wniosek i w zależności od konkretnych potrzeb w poszczególnych przypadkach. W razie potrzeby pomoc mogłaby obejmować wsparcie ze strony zaufanych partnerów prywatnych w celu zapewnienia skutecznych działań w zakresie reagowania i usuwania skutków.

W ramach inicjatywy na rzecz cybersolidarności UE Komisja przygotowuje działania służące wzmocnieniu gotowości i reagowania w całej UE. Obejmowałoby to przeprowadzanie testów w podmiotach obsługujących infrastrukturę krytyczną pod kątem potencjalnej podatności na zagrożenia, na podstawie unijnych ocen ryzyka – w oparciu o działania podjęte przez Komisję wspólnie z ENISA – oraz działania na rzecz minimalizowania skutków poważnych incydentów, mające wesprzeć natychmiastowe usuwanie skutków lub przywracanie funkcjonowania kluczowych usług 17 .

Inicjatywa na rzecz cybersolidarności UE mogłaby wspierać stopniowe tworzenie na szczeblu UE rezerwy do celów cyberbezpieczeństwa, opartej na usługach świadczonych przez zaufanych dostawców prywatnych, którzy byliby gotowi interweniować na wniosek państw członkowskich w przypadku poważnych incydentów transgranicznych. Role i obowiązki powinny zostać jasno określone i w pełni skoordynowane z istniejącymi organami w celu zapewnienia, aby wsparcie rezerwy do celów cyberbezpieczeństwa na szczeblu UE uzupełniało inne potencjalne formy wsparcia i było udzielane tam, gdzie będzie potrzebne. Chociaż zakres działania i alokacja kosztów poszczególnych interwencji zależałyby od dostępnego finansowania unijnego, UE wniosłaby również dodatkową wartość, zapewniając dostępność i gotowość takiej rezerwy na szczeblu UE. Mając na uwadze zapewnienie wysokiego poziomu zaufania, Komisja rozważy również, w jaki sposób mogłaby wesprzeć tworzenie systemów certyfikacji cyberbezpieczeństwa dla takich prywatnych przedsiębiorstw zajmujących się cyberbezpieczeństwem.

Kluczowym elementem budowania gotowości są ćwiczenia. Sprzyjają one rozwojowi wspólnej bazy wiedzy i zrozumienia koncepcji cyberobrony, co z kolei prowadzi do zwiększenia gotowości operacyjnej. Wspólne ćwiczenia w zakresie cyberobrony będą również prowadzić do budowania interoperacyjności i zaufania między zainteresowanymi stronami, w tym na potrzeby wspierania misji i operacji wojskowych w dziedzinie WPBiO. Mając na uwadze serię CYBER PHALANX 18 oraz ćwiczenia milCERT, EDA ustanowi nowy projekt CyDef-X, który skupi wszystkie państwa członkowskie i który posłuży jako ramy dla unijnych ćwiczeń w zakresie cyberobrony. Projekt ten mógłby służyć na potrzeby ćwiczenia wzajemnej pomocy na podstawie art. 42 ust. 7 TUE. Należy także przeanalizować sposoby korzystania ze specjalnych środowisk do testowania, szkolenia i ćwiczeń w zakresie cyberobrony (np. Federacji cyberpoligonowych), w tym przez wykorzystanie projektu PESCO dotyczącego Federacji cyberpoligonowych 19 .

Ćwiczenia mogą również odgrywać ważną rolę w pogłębieniu współpracy między podmiotami cywilnymi i wojskowymi. Podczas organizowania ćwiczeń ENISA, EDA i inne właściwe podmioty powinny zatem systematycznie rozważać włączenie uczestników z innych społeczności zajmujących się cyberbezpieczeństwem.

W ramach wzmacniania zdolności UE do zapobiegania cyberatakom, powstrzymywania ich i reagowania na nie, a także zgodnie z unijną strategią cyberbezpieczeństwa z 2020 r. oraz Strategicznym kompasem, wysoki przedstawiciel zaproponuje w 2023 r. warianty dalszego wzmacniania unijnego zestawu narzędzi dla dyplomacji cyfrowej 20 , uwzględniając elementy pozycji UE w kwestiach cyberprzestrzeni i wnioski wyciągnięte z wdrażania powyższego zestawu narzędzi od czasu jego ustanowienia.

Działania w zakresie cyberobrony ·Ustanowienie Centrum Koordynacji UE ds. Cyberobrony jako ośrodka wspólnej wojskowej orientacji sytuacyjnej oraz zbadanie warunków współpracy z centrum ds. orientacji sytuacyjnej i analiz Komisji. ·Dalszy rozwój i wzmocnienie unijnej konferencji dowódców ds. obrony cyberprzestrzeni. ·Zachęcanie państw członkowskich do aktywnego uczestnictwa w MICNET, będącej siecią wojskowych CERT, oraz działanie na rzecz nawiązania współpracy z cywilną siecią CSIRT. ·Opracowanie nowego ramowego projektu CyDef-X celem wsparcia unijnych ćwiczeń w zakresie cyberobrony. ·Zbadanie możliwości dalszego rozwoju koncepcji zespołów szybkiego reagowania na cyberincydenty z wykorzystaniem projektu PESCO dotyczącego CRRT. ·Zbadanie możliwości dalszego rozwoju projektów dotyczących Federacji cyberpoligonowych. Cywilne działania wspierające ·Przygotowanie inicjatywy na rzecz cybersolidarności UE, w tym ewentualnej ustawy o wprowadzeniu zmian legislacyjnych w programie „Cyfrowa Europa”: ow celu wzmocnienia wspólnych unijnych zdolności w zakresie wykrywania, orientacji sytuacyjnej i reagowania; ow celu stopniowego tworzenia na szczeblu UE rezerwy na potrzeby cyberbezpieczeństwa, opartej na usługach świadczonych przez zaufanych dostawców; ow celu wspierania przeprowadzania testów w krytycznych podmiotach pod kątem potencjalnej podatności na zagrożenia z wykorzystaniem unijnych ocen ryzyka. ·Zbadanie możliwości tworzenia na szczeblu UE systemów certyfikacji cyberbezpieczeństwa dla branży cyberbezpieczeństwa oraz prywatnych przedsiębiorstw. ·Wzmocnienie współpracy na poziomie strategicznym, operacyjnym i technicznym między społecznością zajmującą się cyberobroną a innymi społecznościami zajmującymi się cyberbezpieczeństwem.

2. Zabezpieczenie ekosystemu obronnego UE

W ostatnich latach drastycznie wzrosła liczba cyberataków, w tym ataków na łańcuchy dostaw, mających na celu cyberszpiegostwo, wykorzystanie oprogramowania szantażującego lub zakłócenia. W 2020 r. atak na łańcuch dostaw SolarWinds 21 dotknął ponad 18 000 organizacji na całym świecie, w tym agencje rządowe, duże przedsiębiorstwa i przedsiębiorstwa działające w branży obronności. Wykorzystanie luki w oprogramowaniu Apache Log4j 22 pokazało, że nawet komponenty oprogramowania, których nie uważa się za obarczone wysokim ryzykiem lub krytyczne, mogą zostać wykorzystane do przeprowadzenia udanych ataków na duże przedsiębiorstwa lub rządy w UE, w tym w dziedzinie obronności. Wskazuje to na wyraźną potrzebę dalszego wzmocnienia cyberodporności podmiotów działających w ekosystemie obronnym UE, w tym podmiotów wojskowych, należących do przemysłu obronnego i podmiotów prywatnych.

Siły zbrojne są w dużym stopniu uzależnione od cywilnej infrastruktury krytycznej, czy to w zakresie mobilności, komunikacji czy energii. Takie powiązanie uwypuklił rosyjski atak na sieć satelitarną KA-SAT 23 , który zakłócił komunikację między kilkoma organami publicznymi oraz ukraińskimi siłami zbrojnymi. Świadczy to o konieczności zabezpieczenia takiej infrastruktury krytycznej.

Aby rozwiązać kwestie związane z bezpieczeństwem swoich systemów komunikacyjno-informacyjnych, państwa członkowskie opracowują własne normy i wymogi bezpieczeństwa dla systemów wojskowych, w których nie zawsze uwzględnia się potrzebę interoperacyjności lub istnienie cywilnych norm dla produktów podwójnego zastosowania. Ma to negatywny wpływ na zdolność państw członkowskich do wspólnego działania w cyberprzestrzeni, również w kontekście misji i operacji wojskowych w dziedzinie WPBiO, oraz stwarza przeszkody dla wzajemnej pomocy. Ponadto konieczne jest promowanie silniejszej synergii między wojskowymi i cywilnymi ścieżkami standaryzacji, ponieważ konieczność przestrzegania podobnych, ale odmiennych norm w odniesieniu do klientów cywilnych i wojskowych skutkuje wzrostem kosztów produkcji w przypadku opracowywania przez przemysł produktów podwójnego zastosowania.

2,1. Zwiększenie cyberodporności ekosystemu obronnego

Zwiększenie cyberodporności ekosystemu obronnego wymaga ukierunkowanych działań i inwestycji w obrębie szerokiej gamy podmiotów, począwszy od infrastruktury wojskowej państw członkowskich oraz misji i operacji w obszarze WPBiO, po infrastrukturę krytyczną, przemysł obronny i odpowiednie jednostki badawcze.

Dla powodzenia misji i operacji w obszarze WPBiO konieczna jest ochrona informacji niezbędnych do podejmowania świadomych decyzji. UE i jej państwa członkowskie muszą nadal wzmacniać swoje struktury dowodzenia i kontroli wojskowej oraz rozwijać i zabezpieczać swoją infrastrukturę. Dotyczy to również konsultacji polityczno-wojskowych na wczesnych etapach zarządzania kryzysowego w celu skutecznego wykorzystania dowództwa operacji, w tym Komórki Planowania i Prowadzenia Operacji Wojskowych (MPCC). Zostanie to uwzględnione w szczególności za pośrednictwem dalszego rozwoju operacyjnej sieci rozległej UE.

W kontekście misji i operacji wojskowych podmioty zajmujące się cyberobroną mają do czynienia z informacjami w różnych formatach, o różnych klasyfikacjach i pochodzącymi z różnych źródeł. Tym samym ogromnego znaczenia nabiera kwestia stosowania bezpiecznych, najnowocześniejszych technologii, takich jak sztuczna inteligencja, przy wsparciu ze strony przemysłu.

Należy zwiększyć bezpieczeństwo infrastruktury systemów komunikacyjno-informacyjnych przez stosowanie wzajemnie uzgodnionych procedur zarządzania, co sprzyjać będzie zaufaniu do integralności informacji dostępnych wśród zainteresowanych stron. Wysoki przedstawiciel, w tym jako zwierzchnik EDA, będzie przy wsparciu Komisji wspomagał państwa członkowskie w opracowywaniu niewiążących prawnie zaleceń dla społeczności zajmującej się obroną. Zalecenia te będą inspirowane dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywą NIS 2) 24 , ponieważ obronę wyłączono z zakresu tej dyrektywy. Przyczyni się to do zwiększenia ogólnego poziomu rozwoju w zakresie cyberobrony.

Wniosek Komisji w sprawie aktu dotyczącego cyberodporności 25 , którego celem jest określenie wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi, spowoduje również dalsze ograniczenie powierzchni ataku w produktach podwójnego zastosowania wykorzystywanych przykładowo w systemach komunikacyjno-informacyjnych przez przemysł obronny oraz rządowe podmioty zajmujące się obroną. Zgodnie z wnioskiem producenci byliby zobowiązani do zgłaszania aktywnie wykorzystywanych podatności w terminie 24 godzin do ENISA, która informowałaby odpowiednie krajowe CSIRT. W tym względzie ważne byłoby także zapewnienie, aby społeczność zajmująca się obroną była szybko informowana o podatnościach w produktach z elementami cyfrowymi, a także o wszelkich dostępnych lub stosowanych poprawkach zabezpieczeń i środkach łagodzących.

W świetle zależności wojska od cywilnej infrastruktury krytycznej tym bardziej istnieje potrzeba dalszego zwiększenia ochrony infrastruktury krytycznej przed cyberatakami na dużą skalę. Komisja, wysoki przedstawiciel i grupa współpracy NIS 26 opracowują na wniosek Rady 27 scenariusze ryzyka dla bezpieczeństwa infrastruktury cyfrowej. W pierwszej kolejności nacisk zostanie położony na cyberbezpieczeństwo w sektorze energetycznym, telekomunikacyjnym i w sektorze transportu oraz przestrzeni kosmicznej. Ponadto przygotowane zostaną również ukierunkowane oceny ryzyka w cyberprzestrzeni dla infrastruktury i sieci komunikacyjnych w UE (w tym infrastruktury stacjonarnej i mobilnej, satelitów, kabli podmorskich i routingu internetowego) 28 .Jeżeli chodzi o ochronę infrastruktury krytycznej przed zagrożeniami spowodowanymi przez człowieka, w tym zagrożeniami hybrydowymi, we wniosku dotyczącym zalecenia Rady w sprawie skoordynowanego podejścia Unii do kwestii wzmocnienia odporności infrastruktury krytycznej 29 wzywa się państwa członkowskie m.in. do zapewnienia odpowiednich testów warunków skrajnych i koordynacji kryzysowej. Kwestia morskiej infrastruktury krytycznej, w tym ochrona podmorskich kabli danych, będzie przedmiotem dalszych działań w ramach zbliżającego się przeglądu strategii Unii Europejskiej w zakresie bezpieczeństwa morskiego i powiązanego ze strategią planu działania. Dalsze działania mające na celu wzmocnienie cyberbezpieczeństwa infrastruktury krytycznej w systemie energetycznym określono w planie działania UE w zakresie transformacji cyfrowej systemu energetycznego 30 .

Usługi kosmiczne mają coraz większe znaczenie dla obronności, niezależnie od tego, czy dotyczą nadzoru, orientacji sytuacyjnej, precyzyjnego pozycjonowania, czy też ultrabezpiecznej łączności. Stanowią one zatem kluczowe aktywa strategiczne dla suwerenności technologicznej. Zakłócenie usług kosmicznych mogłoby mieć duży wpływ na systemy obronne, ale także na całe społeczeństwo i całą gospodarkę. Ich odporność ma zasadnicze znaczenie dla ogólnej odporności cyberobrony, ponieważ mogą one być celem szkodliwych ataków. Jak dowodzą ataki na sieci KA-SAT, systemy kosmiczne są w szczególności coraz bardziej narażone na zagrożenia cyberbezpieczeństwa, które mogą wpłynąć na dostępność lub ciągłość usług kosmicznych. Stwarza to ryzyko dla interesów strategicznych UE oraz jej interesów odnoszących się do bezpieczeństwa w dziedzinie przestrzeni kosmicznej, a także dla zdolności do działania w przestrzeni kosmicznej, które to zdolności umożliwiają i wspomagają cyberobronę. Unijna strategia kosmiczna na rzecz bezpieczeństwa i obrony ogłoszona w ramach Strategicznego kompasu 31 posłuży do określenia środków mających na celu poprawę solidności i cyberodporności infrastruktury kosmicznej i powiązanych usług oraz powstrzymywanie wszelkich zagrożeń dla podatnych systemów i usług kosmicznych w UE i reagowanie na nie, ze szczególnym uwzględnieniem zagrożeń cyberbezpieczeństwa.

Ponadto Komisja wzywa państwa członkowskie do pilnego wdrożenia środków zalecanych w unijnym zestawie narzędzi na potrzeby cyberbezpieczeństwa sieci 5G 32 . Państwa członkowskie, które nie wprowadziły jeszcze ograniczeń dotyczących dostawców wysokiego ryzyka, powinny to zrobić bez dalszej zwłoki, biorąc pod uwagę, że stracony czas może zwiększyć podatność sieci w UE na zagrożenia. Takie zagrożenia mogą dotyczyć zasobów wojskowych i mogą mieć wpływ na ogólne środowisko obronne państw członkowskich.

Jeżeli chodzi o cyberodporność europejskiego przemysłu obronnego oraz jednostek badawczo-rozwojowych w dziedzinie obronności, podmioty te są objęte zakresem dyrektywy NIS 2, chyba że zostaną wyraźnie wyłączone przez państwa członkowskie. Wymagałoby to od takich podmiotów posiadania programu zarządzania ryzykiem w cyberprzestrzeni, który obejmowałby bezpieczeństwo łańcucha dostaw oraz przewidywał zgłaszanie incydentów. Ponieważ dużą rolę w świadczeniu usług w zakresie cyberbezpieczeństwa w ekosystemie obronnym odgrywa sektor prywatny, państwa członkowskie powinny korzystać z systemów certyfikacji cyberbezpieczeństwa. Można rozważyć unijny system certyfikacji cyberbezpieczeństwa dla przedsiębiorstw świadczących usługi na rzecz przemysłu obronnego jako sposób na wprowadzenie na rynek zharmonizowanego poziomu zaufania w oparciu o doświadczenia ENISA.

2,2. Zapewnienie interoperacyjności i spójności norm w zakresie cyberobrony w UE

Interoperacyjność i ujednolicenie stanowią ważne wymogi, które należy uwzględnić już na etapie projektowania zdolności cyberobronnych, z uwzględnieniem wniosków wyciągniętych z trwających misji i operacji, określone pod przewodnictwem Sztabu Wojskowego Unii Europejskiej, przy wsparciu EDA. Elementami wiodącymi, jeżeli chodzi o rozwój krajowych zdolności cyberobronnych, powinny być zasady, procesy i normy uzgodnione w ramach sfederalizowanej sieci misyjnej 33 . Pozwoli to zapewnić interoperacyjność.

Współpracę można ułatwić w drodze harmonizacji wymogów dotyczących zdolności cyberobronnych nowej generacji, co może ewentualnie prowadzić do wspólnych inicjatyw w zakresie rozwoju i udzielania zamówień publicznych oraz zintegrowanego wsparcia cyklu życia. Z tego powodu EDA i Sztab Wojskowy Unii Europejskiej opracują zalecenia dotyczące zestawu wymogów w zakresie interoperacyjności unijnej cyberobrony. Wymogi te należy uwzględnić we wszystkich okresach planowania, aby zagwarantować wszystkie aspekty standaryzacji jako kluczowego czynnika umożliwiającego interoperacyjność. Kolejnymi kluczowymi czynnikami są wymogi dotyczące testowania, oceny i certyfikacji.

W kontekście proponowanego aktu dotyczącego cyberodporności opracowane zostaną normy zharmonizowane dotyczące cyberbezpieczeństwa dla sprzętu i oprogramowania oraz ich komponentów 34 . Takie normy będą dotyczyć wszystkich produktów cywilnych i produktów podwójnego zastosowania z elementami cyfrowymi, które stanowią dużą część produktów wykorzystywanych w sektorze obrony. W miarę możliwości Komisja będzie zachęcać do zapewnienia spójności z normami cyberbezpieczeństwa dotyczącymi produktów cyfrowych w dziedzinie obronności. Jak określono w planie działania na rzecz synergii między przemysłem cywilnym, obronnym i kosmicznym 35 („plan działania na rzecz synergii”), Komisja przedstawi, w ścisłej współpracy z kluczowymi zainteresowanymi stronami, plan promowania stosowania istniejących hybrydowych norm cywilnych/obronnych oraz opracowania nowych. Należy rozwijać współpracę między wszystkimi zainteresowanymi stronami, w tym europejskimi organizacjami normalizacyjnymi, Organizacją Traktatu Północnoatlantyckiego (NATO) i innymi partnerami, najlepiej wykorzystując w tym celu Europejski Komitet ds. Normalizacji w dziedzinie Obrony. Podobnie, podczas opracowywania przez wojskowe organizacje normalizacyjne nowych norm związanych z cyberbezpieczeństwem dla produktów z elementami cyfrowymi do celów obronnych, za punkt odniesienia powinny posłużyć normy zharmonizowane opracowane na podstawie aktu dotyczącego cyberodporności 36 .

3. Inwestowanie w zdolności cyberobronne

W ostatnich latach w UE wzrosły inwestycje w cyberobronę w związku z rosnącą liczbą szkodliwych działań cybernetycznych ze strony podmiotów państwowych i niepaństwowych. Wzmocnienie zdolności cyberobronnych UE ma znaczenie decydujące. W następstwie wojny napastniczej Rosji wymierzonej przeciwko Ukrainie wzrosła potrzeba zwiększenia inwestycji zapewniających państwom członkowskim najnowocześniejsze zdolności cyberobronne, zarówno stacjonarne, jak i umożliwiające rozmieszczenie.

Ulepszenia technologiczne są niezbędne do utrzymania przewagi nad konkurentami i przeciwnikami, którzy także intensywnie inwestują w nowe technologie. W związku z tym UE i państwa członkowskie muszą również wzmocnić swoją współpracę i interoperacyjność w zakresie cyberobrony, wspólnie rozwijając zdolności i zwiększając inwestycje w badania i rozwój.

Ponadto należy zająć się podatnościami wynikającymi ze strategicznych zależności oraz rozdrobnienia EDTIB 37 . Do przezwyciężenia strategicznych zależności w zakresie cyberbezpieczeństwa i cyberobrony w Europie niezbędne są przede wszystkim umiejętności i kompetencje. Europejski przemysł obronny musi zachować kluczowe umiejętności i nabyć nowe, aby utrzymać zdolność do dostarczania zaawansowanych technologicznie rozwiązań w warunkach globalnych 38 . Brak umiejętności ma negatywny wpływ na sektor obrony, ponieważ utrudnia rozwój zdolności we wszystkich dziedzinach. Wszystkie działania będą w pełni zgodne z podejściami ogłoszonymi w planie działania na rzecz synergii, Planie działania w zakresie technologii krytycznych dla bezpieczeństwa i obronności („plan działania”) 39 oraz analizie luk 40 .

3,1. Rozwinięcie najnowocześniejszych zdolności cyberobronnych obejmujących pełne spektrum

Państwa członkowskie odpowiadają za stosowanie zdolności cyberobronnych i posiadają kompetencje w tym zakresie, natomiast UE odgrywa ważną rolę we wspieraniu dalszego rozwoju konkretnych zdolności wojskowych w całym spektrum doktryn, organizacji, szkoleń, materiałów, personelu, przywództwa, obiektów i interoperacyjności (DOTMLPF-I), co pozwala zapewnić swobodę działania w cyberprzestrzeni. Istnieje potrzeba dalszego ujednolicenia podejścia do cyberobrony we wszystkich domenach zdolności oraz dostosowania go do zmieniającego się środowiska geopolitycznego. Konieczne jest zatem określenie brakujących elementów w istniejących zdolnościach oraz wspieranie procesu rozwoju nowych zdolności w skoordynowany i wymierny sposób.

Poziom zaangażowania państw członkowskich we wspólne projekty z zakresu rozwoju cyberobrony jest jak dotąd niewystarczający i należy go zwiększyć, aby zmaksymalizować efekty projektów na poziomie UE. Wszystkie państwa członkowskie muszą zwiększyć swoje inwestycje w rozwój zdolności cyberobronnych obejmujących pełne spektrum oraz rozwijać je w ramach współpracy. Państwa członkowskie powinny zbadać możliwość opracowania zestawu dobrowolnych zobowiązań w ramach rozwoju krajowych zdolności cyberobronnych, również zdolności wielonarodowych, wykraczających poza istniejące projekty PESCO dotyczące cyberobrony 41 . Do rozpoczęcia dialogu z państwami członkowskimi na temat wymogów w zakresie cyberobrony i krajowych celów dotyczących rozwoju zdolności cyberobronnych oraz oceny realizacji zobowiązań można by wykorzystać proces skoordynowanego rocznego przeglądu w zakresie obronności (CARD). Komisja wspiera i współfinansuje rozwój zdolności cyberobronnych obejmujących pełne spektrum oraz powiązane badania naukowe, w tym w zakresie aktywnych zdolności obronnych, za pośrednictwem Europejskiego Funduszu Obronnego (EFO). Komisja zwiększyła już inwestycje w cyberobronę za pośrednictwem EFO, co powinno zaowocować opracowaniem europejskich wspólnych lub interoperacyjnych narzędzi do prowadzenia operacji i zarządzania incydentami w cyberprzestrzeni, operacji obronnych w zakresie walki informacyjnej i środków zapobiegawczych oraz zwiększeniem odporności systemów komunikacyjno-informacyjnych. Dotyczy to takich obszarów jak orientacja sytuacyjna, aktywne poszukiwanie zagrożeń w czasie rzeczywistym i zdolności do reagowania operacyjnego w cyberprzestrzeni, zdolności operacyjne w zakresie cyberprzestrzeni oraz szkolenia i ćwiczenia w zakresie cyberprzestrzeni 42 . Aby zapewnić państwom członkowskim możliwość prowadzenia wspólnych cyberoperacji, w nadchodzących latach EFO wspierać będzie operacje reagowania i zdolności w zakresie cyberoperacji. Oprócz tego zachęca się państwa członkowskie do aktywnego angażowania się w poszczególne ramy współpracy i do wykorzystania wszystkich instrumentów ustanowionych na poziomie UE, w tym zespołu projektowego EDA ds. obrony cybernetycznej 43 .

Trwający przegląd unijnych priorytetów rozwoju zdolności z 2018 r. 44 stanowi dobrą okazję do określenia zaktualizowanych priorytetów w zakresie rozwoju współpracy i współdziałania, co z kolei umożliwi odnośne zwiększenie rozwoju zdolności w ramach współpracy. W przeglądzie szczególnego priorytetu dotyczącego cyberobrony należy uwzględnić wynik CARD z 2022 r., a także ustalenia z analizy luk przedstawione państwom członkowskim w maju 2022 r. CARD posłuży następnie jako regularne ramy do przeglądu postępów we wdrażaniu tego zaktualizowanego priorytetu na poziomie krajowym oraz do badania nowych pojawiających się wariantów wspólnego rozwoju zdolności cyberobronnych z państwami członkowskimi. Zaktualizowane unijne priorytety rozwoju zdolności będą służyć jako kluczowy punkt odniesienia na potrzeby projektów PESCO dotyczących cyberobrony.

W tym względzie, na podstawie zadań określonych przez Komitet Wojskowy UE, Sztab Wojskowy Unii Europejskiej opracuje plan wdrożenia operacji w cyberprzestrzeni w ścisłej koordynacji z państwami członkowskimi, aby zapewnić przegląd stanu wdrażania zdolności cyberobronnych, jak również udzielić wsparcia państwom członkowskim w celu lepszego dostosowania ich starań i działań. Podstawę tych starań stanowi koncepcja UE dotycząca cyberobrony dla operacji i misji wojskowych prowadzonych przez UE, odzwierciedlająca priorytetowe założenia planu rozwoju zdolności (CDP).

Intensyfikacja działań badawczych w zakresie kluczowych technologii na rzecz cyberobrony

Utrzymanie najnowocześniejszych zdolności cyberobronnych wymaga śledzenia rozwoju technologicznego i jego zastosowań w systemach związanych z obronnością, zwłaszcza w zakresie powstających i przełomowych technologii (np. sztucznej inteligencji, szyfrowania i obliczeń kwantowych) 45 . Aby UE mogła zapewnić bezpieczeństwo swoich systemów obronnych, musi inwestować w kryptografię postkwantową. Biorąc pod uwagę szybkie tempo rozwoju technologii, wspólne starania w zakresie badań i rozwoju technologicznego muszą być dostosowane w sposób pozwalający na osiągnięcie wystarczająco zaawansowanego poziomu gotowości technologicznej, tak aby wyniki tych badań i rozwoju można było szybciej uwzględniać w istniejących i przyszłych zdolnościach.

W ramach EFO Komisja finansuje innowacje technologiczne w dziedzinie obronności i wspiera rozwój powstających, przełomowych oraz zaawansowanych technologii, w tym w zakresie cyberobrony. Na zagadnienia związane z przełomowymi technologiami na potrzeby obronności, w tym niektóre zagadnienia mające znaczenie dla cyberobrony, przeznacza się do 8 % budżetu EFO. W nadchodzących latach szczególna uwaga w ramach EFO zostanie poświęcona działaniom i projektom badawczym dotyczącym nowych technologii opracowanych w celu przeciwdziałania pojawiającym się i zmieniającym zagrożeniom, jak również zwiększeniu odporności, cyberbezpieczeństwu oraz włączeniu ich do zdolności obronnych.

Zgodnie z planem działania dotyczącym powstających i przełomowych technologii 46 EDA będzie każdego roku informować państwa członkowskie o powstających technologiach, w tym technologiach mających zastosowanie w obszarze cyberobrony. Ponadto EDA opracuje ocenę strategiczną powstających i przełomowych technologii europejskich, aby wspierać państwa członkowskie w przyjmowaniu długoterminowych kierunków strategicznych oraz określaniu synergii i możliwości współpracy. Europejskie Centrum Kompetencji w dziedzinie Cyberbezpieczeństwa (ECCC) przyjmie strategiczny program inwestycji w kluczowych obszarach cyberbezpieczeństwa, który z kolei posłuży do wyznaczenia kierunku podczas przygotowywania przyszłych programów prac w ramach programów „Cyfrowa Europa” i „Horyzont Europa” w odniesieniu do cyberbezpieczeństwa i który będzie przewidywał wsparcie odpowiednio na rzecz badań, innowacji i wprowadzania na rynek. Z myślą o wspieraniu synergii ECCC i EDA opracują także ustalenia robocze ułatwiające wymianę informacji między właściwymi pracownikami na temat priorytetów w zakresie – odpowiednio – technologii cywilnych, technologii podwójnego zastosowania i obronnych.

Działanie w odpowiedzi na potrzeby technologiczne w zakresie cyberobrony

Konieczne są dalsze działania i dalsza koordynacja w celu zapewnienia, aby sektor obrony sprawnie wykorzystywał szybki rozwój technologiczny w zakresie cyberprzestrzeni. Chodzi tu o wzmożenie starań na rzecz określania technologii mających zasadnicze znaczenie dla cyberobrony i cyberbezpieczeństwa, którym należy nadać priorytet w celu zmniejszenia zależności technologicznych UE, oraz o dokonanie oceny, czy zależności te zostały w dostatecznym stopniu uwzględnione w obecnych instrumentach ustalania priorytetów i finansowania.

W tym celu w 2023 r. Komisja wraz z EDA i państwami członkowskimi zaproponuje plan działania w zakresie krytycznych cybertechnologii, oparty na odpowiednich konsultacjach, w tym – w stosownych przypadkach – z przedstawicielami przemysłu. W ramach tego planu określone zostaną cybertechnologie mające znaczenie dla suwerenności technologicznej UE, obejmujące zarówno cyberobronę, jak i cyberbezpieczeństwo. Ponadto przedstawione zostaną postępy technologiczne i zależności strategiczne oraz podjęte działania w celu ograniczenia tych ostatnich. Plan działania w zakresie cybertechnologii będzie zawierał informacje na temat priorytetów strategicznych z punktu widzenia unijnych instrumentów finansowania oraz propozycję pełnego wykorzystania cywilnych i obronnych programów badawczo-rozwojowych i dotyczących rozwoju zdolności oraz instrumentów finansowania zgodnie z ich odpowiednimi zasadami zarządzania. W planie zaproponowane zostaną dalsze sposoby wspierania rozwoju badań dotyczących technologii podwójnego zastosowania, rozwoju technologii i innowacji w zakresie cyberbezpieczeństwa i cyberobrony na poziomie UE i państw członkowskich.

W tym kontekście Komisja 47 przeprowadzi w 2023 r., we współpracy z ECCC i EDA, ocenę technologii, które uznano już za mające zasadnicze znaczenie dla cyberobrony, oraz – potencjalnie przy wsparciu obserwatorium technologii krytycznych – będzie dalej określać i identyfikować istniejące zależności 48 . W ramach tego uwzględnione zostaną prace podjęte w kontekście corocznego dokumentu EDA dotyczącego monitorowania 49 oraz oceny strategicznej powstających i przełomowych technologii europejskich 50 . Ponadto ECCC może uruchomić specjalny projekt wsparcia politycznego, który mógłby zostać wykorzystany w procesie tworzenia planów działania w zakresie technologii oraz posłużyć do nawiązania kontaktu z odpowiednimi zainteresowanymi stronami ze sfery cywilnej i wojskowej oraz ich zaangażowania.

W ramach działań nakreślonych w planie działania na rzecz synergii, planie działania i analizie luk podjęto już kilka działań mających na celu wzmocnienie synergii, a tym samym lepsze wykorzystanie pełnego potencjału technologii podwójnego zastosowania, w tym w cyberprzestrzeni.

Ponadto zachęca się państwa członkowskie do pełnego wykorzystywania istniejących inicjatyw wspierających badania i rozwój technologiczny, mianowicie w kwestii obronności – działających przy EDA grup ds. technologii w zakresie zdolności obronnych 51 oraz powiązanych elementów składowych technologii OSRA 52 , ram ad hoc EDA 53 , EFO i PESCO. Jeżeli chodzi o technologie cywilne i technologie podwójnego zastosowania, ECCC i sieć mogą – zgodnie z aktami stanowiącymi ich podstawę prawną – zarządzać projektami zarówno o wymiarze obronnym, jak i o wymiarze cywilnym 54 . Jak zapowiedziano w planie działania na rzecz synergii i w planie działania, Komisja będzie dążyła do wzmocnienia synergii między działalnością ECCC a EFO w dziedzinie cyberbezpieczeństwa i cyberobrony, zgodnie z zasadami zarządzania EFO.

3,2. Elastyczny, konkurencyjny i innowacyjny europejski przemysł obronny

W UE potrzebny jest silny, elastyczny, konkurencyjny i innowacyjny europejski przemysł obronny, który będzie w stanie zapewnić pełne spektrum najnowocześniejszych zdolności obronnych, w tym zdolności cyberobronnych. Jeżeli chodzi o cyberobronę, przemysł obronny UE – dążąc do pozyskania nowoczesnych rozwiązań – opiera się obecnie w znacznym stopniu na rozwiązaniach cywilnych oraz na rynkach zewnętrznych. Pomimo szybko dokonującego się postępu technologicznego w sektorze cywilnym i dynamicznego rozwoju rynku cywilnych produktów informatycznych i produktów z dziedziny cyberbezpieczeństwa, istnieją również szczególne wymogi wojskowe, które nie mogą zostać spełnione za pomocą gotowych produktów cywilnych. Istotne elementy sprzętu i oprogramowania komputerowego wykorzystywanego obecnie do celów cyberobrony nie są produkowane w UE, co może wiązać się z zależnościami przemysłowymi i technologicznymi. Ponadto pozycja UE w globalnym sektorze cyberbezpieczeństwa i cyberobrony nie jest pozycją silną. Wysoce rozdrobniona baza EDTIB w znacznym stopniu ogranicza zdolność UE do zwiększenia konkurencyjności 55 ; nie bez znaczenia jest przy tym fakt, że większość przedsiębiorstw działających w sektorze cyberbezpieczeństwa w UE stanowią małe i średnie przedsiębiorstwa (MŚP) 56 . Dysponowanie niezależnym technologicznie potencjałem przemysłowym to dla UE podstawa umożliwiająca jej podejmowanie działań.

UE wspiera rozwój silnej EDTIB za pośrednictwem szeregu programów i inicjatyw. Środki z EFO są wykorzystywane do finansowania innowacji technologicznych w dziedzinie obronności oraz do wspierania rozwoju technologii, które ostatecznie doprowadzą do nabycia wspólnie wypracowanych, nowoczesnych zdolności wojskowych i które przyczynią się do zwiększenia konkurencyjności przemysłu obronnego UE, natomiast w ramach programu „Horyzont Europa” i programu „Cyfrowa Europa” zapewnia się wsparcie na rzecz badań w dziedzinie cyberbezpieczeństwa i rozwijania technologii podwójnego zastosowania, w tym technologii kwantowych, technologii szyfrowania, technologii zabezpieczonej chmury i technologii w zakresie sztucznej inteligencji 57 .

Należy odnieść się do dalszych działań związanych z technologiami mającymi zasadnicze znaczenie dla cyberobrony i potrzebami przemysłu wskazanymi w planie działania w zakresie krytycznych cybertechnologii. Należy zidentyfikować odpowiednie strumienie wsparcia, na przykład strumienie wsparcia służące pobudzeniu wspólnych starań w obszarze zamówień podejmowanych m.in. za pośrednictwem przyszłego Europejskiego programu inwestycji w dziedzinie obronności lub strumienie wsparcia mające na celu ułatwienie dostępu do kapitału i pożyczek udzielanych za pośrednictwem Europejskiego Funduszu Inwestycyjnego i Europejskiego Banku Inwestycyjnego.

Zapewnienie solidnej bazy EDTIB wiąże się z koniecznością wykorzystywania synergii między przedsiębiorstwami cywilnymi a przedsiębiorstwami działającymi w branży obronności. Działania w zakresie innowacji zaproponowane w ramach unijnego systemu innowacji w dziedzinie obronności (EUDIS), w tym działania informacyjne adresowane do MŚP i zwiad technologiczny, mogłyby pozytywnie wpłynąć na przemysł obronny UE i EDTIB.

Komisja zainicjuje również dialog branżowy, aby wnieść wkład w rozwój unijnego sektora cyberobrony, w stosownych przypadkach angażując w ten proces EDA.

Komisja i wysoki przedstawiciel proponują wdrożenie szeregu środków mających na celu zapewnienie przemysłowi odpowiednich warunków do działania – zarówno w perspektywie krótko-, jak i długoterminowej. Wiąże się to z koniecznością przeprowadzenia w najbliższym czasie dogłębnej analizy zdolności wytwórczych przemysłu obronnego UE, która pozwoli precyzyjnie zidentyfikować luki i obszary wymagające podjęcia bardziej wytężonych starań.

Kwestie związane z potrzebą zmniejszenia krytycznych zależności w obszarze cybernetyki, takich jak zależności zidentyfikowane w planach działania w zakresie technologii, można podjąć także w ramach Europejskiego Funduszu na rzecz Suwerenności zapowiedzianego przez przewodniczącą Ursulę von der Leyen w jej orędziu o stanie Unii z września 2022 r.

Na potrzeby ograniczania ryzyka przejmowania europejskich technologii lub rozwiązań, co wiąże się z zagrożeniami dla obronności i bezpieczeństwa, nadal wykorzystywane będą unijne ramy monitorowania bezpośrednich inwestycji zagranicznych. Państwa członkowskie, które nie ustanowiły jeszcze krajowych mechanizmów monitorowania, powinny niezwłocznie to zrobić.

3,3. Unijna siła robocza w dziedzinie cyberobrony

Europa mierzy się obecnie z rzeczywistym i alarmującym niedoborem umiejętności w dziedzinie cyberbezpieczeństwa: Europejska Organizacja ds. Cyberbezpieczeństwa (ECSO) szacuje, że już teraz, w 2022 r., potrzebnych jest 500 000 specjalistów w tej dziedzinie. Wspomniany niedobór wykwalifikowanej siły roboczej ogranicza zdolność UE do opracowywania nowych technologii i obrony naszej infrastruktury krytycznej. Przyciągnięcie i utrzymanie utalentowanych specjalistów w dziedzinie cybernetyki dodatkowo utrudnia zacięta konkurencja o wykwalifikowanych pracowników tocząca się między organami rządowymi takimi jak ministerstwa obrony i agencje zajmujące się wojskowością a podmiotami z sektora prywatnego, które oferują atrakcyjne wynagrodzenie.

W kontekście przypadającego w 2023 r. Europejskiego Roku Umiejętności Komisja uruchomi inicjatywę mającą na celu utworzenie Akademii Umiejętności w dziedzinie Cyberbezpieczeństwa. Wspomniana akademia będzie pełniła funkcję inicjatywy parasolowej służącej zwiększeniu liczby specjalistów przeszkolonych w dziedzinie cyberbezpieczeństwa. Będzie ona skupiać różne inicjatywy na rzecz rozwoju umiejętności w dziedzinie cyberbezpieczeństwa, a także zapewni koordynację i integrację działań oraz jednolitość przekazu w tym zakresie. Akademia Umiejętności w dziedzinie Cyberbezpieczeństwa zostanie zorganizowana z uwzględnieniem szeregu filarów działań takich jak finansowanie, pomoc wspólnotowa, szkolenie i certyfikacja, zaangażowanie zainteresowanych stron oraz tworzenie wiedzy, dzięki czemu będzie mogła również wspierać siłę roboczą w sektorze cyberobrony. Europejskie Kolegium Bezpieczeństwa i Obrony (EKBiO) zbada możliwość usprawnienia wymiany najlepszych praktyk i zapewnienia dodatkowych synergii między sektorem wojskowym a sektorem cywilnym, jeżeli chodzi o szkolenia i rozwijanie umiejętności wojskowych, które są właściwe dla cyberprzestrzeni.

Na podstawie wyników analizy wymogów szkoleniowych w UE oraz zgodnie z zapotrzebowaniem na szkolenia EKBiO, EDA i państwa członkowskie będą w dalszym ciągu rozwijały i organizowały działania szkoleniowe i ćwiczenia w zakresie cyberobrony na potrzeby instytucji Unii oraz operacji i misji realizowanych w ramach WPBiO, a także urzędników z państw członkowskich. W tym kontekście rozważona zostanie również możliwość dodatkowego rozbudowania platformy kształcenia, szkolenia, oceny i ćwiczeń w zakresie cyberbezpieczeństwa (ETEE), co pozwoli zwiększyć potencjał w zakresie organizacji szkoleń. Działania w tym obszarze powinny również obejmować organizowanie kursów szkoleniowych poświęconych jednej, konkretnej domenie operacyjnej oraz operacjom obejmującym wiele domen. Należy w szczególności dążyć do wypracowania synergii z realizowanym w ramach PESCO projektem Cyberakademii i centrum innowacji UE (EU CAIH) 58 .

Zachęca się państwa członkowskie do opracowywania określonych programów edukacyjnych w dziedzinie cyberobrony we współpracy z instytucjami szkolnictwa wyższego i instytucjami akademickimi (cywilnymi i wojskowymi). Pozwoli to rozwijać i tworzyć wspólne programy nauczania w zakresie cyberobrony, dzielić się najlepszymi praktykami, zawiązywać partnerstwa i realizować wspólne projekty, a także ułatwi wymianę instruktorów i uczestników szkoleń. Aby zapewnić interoperacyjność i sprzyjać krzewieniu wspólnej kultury w całej UE, EKBiO będzie wspierało wymianę wiedzy między państwami członkowskimi za pośrednictwem ETEE.

Państwa członkowskie powinny wspierać pogłębienie współpracy między podmiotami w sektorach szkolenia i edukacji łączącej aspekty cywilne i wojskowe w dziedzinie technicznej, operacyjnej, strategicznej i prawnej, kładąc tym samym podwaliny pod tworzenie wspólnych, ujednoliconych programów szkoleniowych na różnych szczeblach społeczności cywilnych, społeczności organów ścigania, społeczności dyplomatycznych i społeczności w dziedzinie cyberobrony. Ponadto państwa członkowskie powinny współpracować z europejskimi organizatorami szkoleń z sektora prywatnego, a także z instytucjami akademickimi, aby podnosić poziom kompetencji i umiejętności personelu biorącego udział w misjach i operacjach wojskowych realizowanych w ramach WPBiO.

Ponadto wśród państw członkowskich, instytucji, organów i agencji UE, partnerów międzynarodowych i innych podmiotów, w tym przedstawicieli sektora prywatnego i środowisk akademickich, należy propagować współpracę dotyczącą opracowywania standardów szkoleń w zakresie cyberobrony oraz certyfikowania rezultatów tych szkoleń. Opierając się na istniejących inicjatywach cywilnych, takich jak europejskie ramy umiejętności w dziedzinie cyberbezpieczeństwa opracowane przez ENISA, EKBiO opracuje ramy certyfikacji umiejętności w zakresie cyberobrony. Komisja rozważy również możliwość przyjęcia określonych podejść do certyfikowania umiejętności w dziedzinie cyberbezpieczeństwa, które to podejścia są dostępne na rynku lub opracowywane przez środowiska akademickie. Jednocześnie Komisja będzie dążyć do stymulowania synergii między tymi podejściami za pośrednictwem Akademii Umiejętności w dziedzinie Cyberbezpieczeństwa, a także do uzupełnienia luk w tym obszarze, w szczególności przy wykorzystaniu ukierunkowanego finansowania unijnego.

4. Zawiązywanie partnerstw w celu przezwyciężania wspólnych wyzwań

Partnerzy skorzystają na zwiększeniu potencjału i odporności UE w cyberprzestrzeni i będą mogli czerpać korzyści związane z unijnym wsparciem i budowaniem zdolności w zakresie cyberobrony zapewnianym za pośrednictwem odpowiednich instrumentów UE. UE będzie dążyła do zawiązywania dostosowanych do indywidualnych potrzeb partnerstw w obszarze cyberobrony, jeżeli będą one przynosiły partnerom wzajemne korzyści. Kwestie związane z partnerstwami na rzecz cyberobrony będą również uwzględniane w kontekście udziału krajów partnerskich w misjach i operacjach wojskowych realizowanych w ramach WPBiO.

W stosownych przypadkach działania w tym obszarze będą opierały się na prowadzonych obecnie dialogach w sprawach cyberprzestrzeni, a także na dialogach w sprawach bezpieczeństwa i obronności. Wysoki przedstawiciel zbada również możliwość zapewnienia synergii między nieformalną unijną siecią cyberdyplomacji a siecią attaché ds. obrony w delegaturach Unii.

4,1. Współpraca z NATO

Strategiczne partnerstwo UE z NATO ma w dalszym ciągu kluczowe znaczenie dla bezpieczeństwa euroatlantyckiego, na co zwrócono uwagę w Strategicznym kompasie i w koncepcji strategicznej NATO z 2022 r. 59 UE nadal jest w pełni zaangażowana w pogłębianie tego kluczowego partnerstwa również w obszarze cyberobrony, konieczne są zatem dalsze działania na rzecz opracowania wspólnych rozwiązań w odpowiedzi na wspólne zagrożenia i wyzwania. Zgodnie ze wspólnymi deklaracjami z Warszawy i z Brukseli w sprawie współpracy UE–NATO 60 i w oparciu o zasady przejrzystości, wzajemności i inkluzywności, otwartości, a także autonomii decyzyjnej obydwu organizacji, cyberbezpieczeństwo i cyberobrona stanowią dla UE jeden z kluczowych priorytetowych obszarów współpracy.

Opierając się na zasadzie wzajemności, UE będzie w dalszym ciągu wymieniała się z NATO informacjami dotyczącymi wojskowych ram koncepcyjnych na potrzeby włączania kwestii związanych z cyberobroną do procesu planowania i przeprowadzania misji i operacji wojskowych w ramach WPBiO. UE będzie dążyła do zagwarantowania możliwie jak największej zgodności z koncepcjami i doktryną NATO w obszarze cyberobrony.

Jeżeli chodzi o duże zapotrzebowanie na zdolności cyberobronne, UE będzie wspierała synergie i komplementarność z NATO ponad granicami organizacyjnymi i krajowymi. UE zawiąże partnerstwo z NATO, aby zwiększyć techniczną i proceduralną interoperacyjność zdolności cyberobronnych, w tym również w celu zwiększenia zdolności zgodnie z inicjatywą sfederalizowanej sieci misyjnej. Utoruje to drogę dla rozwijania i wykorzystywania zdolności cyberobronnych w sposób bazujący na wzajemnym wsparciu. W tym kontekście należy zwrócić szczególną uwagę na interoperacyjność standardów, które przyczyniają się do poprawy cyberodporności i interoperacyjności wojskowych systemów teleinformatycznych, w stosownych przypadkach dzięki angażowaniu przedstawicieli odpowiedniego sektora.

Aby zapewnić spójne szkolenia odpowiedniego personelu zatrudnionego w obszarze cyberobrony, UE zacieśni, w stosownych przypadkach, współpracę z NATO także w kwestii harmonizacji potrzeb i wymogów szkoleniowych, w drodze opracowania wspólnych programów nauczania, kursów i ćwiczeń. Zgodnie z zasadami wzajemności i niedyskryminacji EKBiO będzie oferowało pracownikom NATO swoje kursy szkoleniowe w zakresie cyberobronności i utworzy platformę przeznaczoną do zamieszczania ogłoszeń dotyczących wspólnych kursów. UE będzie również propagować udział personelu NATO w ćwiczeniach w dziedzinie cyberbezpieczeństwa i ćwiczeniach w dziedzinie zarządzania kryzysowego z elementami cyberbezpieczeństwa.

UE i NATO będą również współpracowały ze sobą na rzecz dalszej poprawy wzajemnej orientacji sytuacyjnej oraz zbadają możliwość podejmowania wspólnych działań w tym zakresie, m.in. poprzez zacieśnienie współpracy między NCIRC a CERT-UE. Aby pogłębiać współpracę w kwestiach związanych z cyberbezpieczeństwem oraz w kwestiach dotyczących zarządzania kryzysowego i reagowania w sytuacjach kryzysowych, UE będzie wnosić wkład w prowadzoną między członkami personelu wymianę informacji na temat inicjatyw wojskowych i cywilnych oraz wspólnych inicjatyw, a także – w stosownych przypadkach – będzie przyczyniać się do rozwoju potencjalnych synergii między odpowiednimi ramami zarządzania kryzysowego i inicjatywami w zakresie zarządzania kryzysowego, w tym również w przypadku cyberincydentów na dużą skalę. W celu zapewnienia wzajemnej komplementarności i uniknięcia zbędnego powielania wysiłków UE będzie dążyć do zacieśnienia współpracy i usprawnienia wymiany informacji z NATO w kwestiach związanych z działaniami na rzecz budowania zdolności cyberobronnych w krajach partnerskich.

4,2. Współpraca z partnerami o podobnych poglądach

Wysoki przedstawiciel będzie bardziej systematycznie uwzględniał problematykę cyberobrony w dialogach dotyczących cyberprzestrzeni, a także w dialogach dotyczących sprawa bezpieczeństwa i obronności, które to dialogi prowadzone są z partnerami już teraz lub które będą prowadzone w przyszłości. Wraz z rozwijaniem aspektów związanych z cyberobroną w ramach dialogów dwustronnych zwiększą się możliwości uwzględniania problematyki związanej z cyberobroną we współpracy z partnerami z UE realizowanej w innych formatach.

Strategiczne partnerstwo UE ze Stanami Zjednoczonymi będzie przyczyniało się do zacieśniania współpracy w obszarze bezpieczeństwa i obrony w sposób korzystny dla obydwu stron, m.in. dzięki uporządkowanej wymianie informacji w zakresie orientacji sytuacyjnej. Dialogi w sprawach cyberprzestrzeni, a także dialogi w sprawach bezpieczeństwa i obrony organizowane regularnie między UE a USA potwierdzają istnienie silnego partnerstwa transatlantyckiego. W stosownych przypadkach wysoki przedstawiciel będzie uwzględniał w tych dialogach istotne kwestie związane z cyberobroną.

Wspólnie ze swoimi partnerami na szczeblu międzynarodowym UE będzie w dalszym ciągu wspierała Ukrainę, w tym również w ramach dialogu w sprawach cyberprzestrzeni. Biorąc pod uwagę doświadczenie Ukrainy w zwiększaniu zdolności w zakresie cyberodporności i cyberobrony, wymiana najlepszych praktyk w dziedzinie cyberobrony, w tym informacji na temat krajobrazu zagrożeń i orientacji sytuacyjnej, a także wymiana informacji na temat istotnych zmian polityki leży we wspólnym interesie Ukrainy i UE, dlatego też będzie kontynuowana i poszerzana.

Partnerzy o podobnych poglądach odgrywają istotną rolę w utrzymywaniu globalnej, otwartej, stabilnej i bezpiecznej cyberprzestrzeni i mogą zwiększyć zdolność UE do przeciwdziałania szkodliwym zachowaniom w cyberprzestrzeni, zniechęcania do takich zachowań, ich powstrzymywania oraz reagowania na nie. UE pozostaje otwarta na szeroko zakrojoną, ambitną i korzystną dla wszystkich zaangażowanych stron współpracę w obszarze bezpieczeństwa i obrony, w tym cyberobrony, ze wszystkimi partnerami o podobnych poglądach.

4,3. Wsparcie dla krajów partnerskich na rzecz budowania zdolności w zakresie cyberobrony

Wyzwania na poziomie globalnym i regionalnym zwiększyły wzajemną współzależność między UE a jej partnerami i zwróciły uwagę na konieczność zawiązywania ściślejszych partnerstw w dziedzinie bezpieczeństwa i obrony. Kwestia ta ma szczególnie duże znaczenie w przypadku krajów kandydujących do członkostwa w UE. Szeroko zakrojone cyberataki, do jakich dochodziło w ostatnim czasie, świadczą o konieczności zwiększenia zaangażowania UE w działania w obszarze cyberbezpieczeństwa i cyberobrony oraz zawiązywania przez nią partnerstw w tym zakresie w oparciu o istniejące programy. Z uwagi na transgraniczny charakter zagrożeń cyberbezpieczeństwa zwiększenie cyberodporności w krajach partnerskich, w szczególności tych o niższym poziomie dojrzałości cybernetycznej, przyczyni się do zapewnienia bezpieczniejszej i lepiej zabezpieczonej cyberprzestrzeni. Dzięki temu UE mogłaby lepiej zapobiegać cyberatakom, wykrywać je, bronić się przed nimi i zniechęcać do ich dokonywania. UE zacieśni współpracę w dziedzinie bezpieczeństwa i obrony z krajami partnerskimi, aby wzmocnić ich cyberodporność, w tym również w ramach dialogów, które są prowadzone już teraz. W stosownych przypadkach – o ile będzie przynosiło to wzajemne korzyści – UE nawiąże współpracę z partnerami, a w szczególności z tymi krajami kandydującymi do członkostwa w UE, które dostosowały się do unijnej wspólnej polityki zagranicznej i bezpieczeństwa oraz wspólnej polityki bezpieczeństwa i obrony, w zakresie budowania zdolności w dziedzinie cyberobrony. Współpraca może obejmować wsparcie na rzecz ram polityki i ram legislacyjnych, szkolenia, doradztwo, mentoring i wyposażanie sił zbrojnych i sił bezpieczeństwa partnerów. Państwa członkowskie mogą podjąć decyzję o udzieleniu partnerom pomocy operacyjnej w zakresie cyberobrony. Ponadto UE będzie wspierała swoich partnerów w podejmowaniu działań służących zwiększaniu ich zdolności do uczestnictwa w misjach i operacjach wojskowych w ramach WPBiO, ponieważ tego rodzaju uczestnictwo stanowi wartościowy wkład we wspólne wysiłki na rzecz szerzenia pokoju i zapewniania bezpieczeństwa.

Europejski Instrument na rzecz Pokoju (EPF) będzie nadal wspierał starania UE na rzecz zwiększania zdolności obronnych, w tym zdolności w zakresie cyberobrony, krajów partnerskich – w szczególności w sąsiedztwie UE. Będzie to uzupełnieniem działań w zakresie zarządzania kryzysowego podejmowanych w ramach WPBiO. W tym względzie UE zagwarantuje w razie konieczności lepsze powiązanie wsparcia w zakresie cyberobrony z budowaniem zdolności w zakresie cyberbezpieczeństwa w sektorze cywilnym, w szczególności za pośrednictwem unijnej Rady ds. Budowania Zdolności Cyfrowych. Powodzenie działań służących budowaniu zdolności w zakresie cyberbezpieczeństwa i cyberobrony będzie uzależnione od efektywnej współpracy w ramach odpowiednich unijnych programów i instrumentów, w tym EPF, a także od efektywnej współpracy między państwami członkowskimi.

Wspierając kraje partnerskie w ich staraniach na rzecz budowania zdolności w zakresie cyberobrony, UE będzie współpracowała ściśle z innymi darczyńcami, aby rozwinąć platformy orientacji sytuacyjnej i koordynacji w celu zapewnienia możliwie jak najlepszego, dostosowanego do indywidualnych potrzeb wsparcia oraz zagwarantowania spójności i wyeliminowania powielających się starań.

III. WNIOSKI

Wysoki przedstawiciel, również w charakterze zwierzchnika EDA, oraz Komisja wzywają państwa członkowskie do rozwinięcia odpowiednich aspektów niniejszej polityki w zakresie cyberobrony. Będą oni współpracować z państwami członkowskimi w celu określenia praktycznych środków, jakie można wdrożyć w tym zakresie. W tym kontekście można rozważyć możliwość opracowania planu wdrażania we współpracy z państwami członkowskimi. Rezultaty wdrażania unijnej polityki w zakresie cyberobrony przyczynią się do osiągnięcia ogólnych celów wyznaczonych zarówno w unijnej strategii cyberbezpieczeństwa, jak i w Strategicznym kompasie.

Aby umożliwić monitorowanie i ocenianie postępów w realizacji polityki w zakresie cyberobrony, przygotowywane będą sprawozdania roczne dla Rady. Zachęca się państwa członkowskie do wnoszenia wkładu w proces opracowywania tych sprawozdań poprzez przekazywanie informacji na temat działań przyczyniających się do realizacji polityki w zakresie cyberobrony podejmowanych na szczeblu krajowym lub w ramach prowadzonej współpracy.

(1)

Ramy polityki UE w zakresie cyberobrony (aktualizacja 2018 r.), 19 listopada 2018 r., https://data.consilium.europa.eu/doc/document/ST-14413-2018-INIT/pl/pdf

(2)

Strategiczny kompas na rzecz bezpieczeństwa i obrony – dla Unii Europejskiej, która chroni swoich obywateli, swoje wartości i interesy oraz przyczynia się do międzynarodowego pokoju i bezpieczeństwa .

(3)

Strategia UE w zakresie cyberbezpieczeństwa na cyfrową dekadę, JOIN/2020/18 final .

(4)

https://ec.europa.eu/commission/presscorner/detail/pl/SPEECH_21_4701

(5)

  9364/22 .

(6)

  JOIN(2022) 24 final .

(7)

EEAS(2021) 706 REV4.

(8)

Zajmujące się bezpieczeństwem społeczności cywilne, dyplomatyczne i społeczności organów ścigania.

(9)

Zespoły szybkiego reagowania na cyberincydenty i pomoc wzajemna w zakresie cyberbezpieczeństwa.

(10)

Traktat o Unii Europejskiej, wersja skonsolidowana: Dziennik Urzędowy Unii Europejskiej C 326, 26/10/2012 P. 0001 - 0390.

(11)

Traktat o funkcjonowaniu Unii Europejskiej, wersja skonsolidowana: Dziennik Urzędowy Unii Europejskiej C 326, 26/10/2012 P. 0001 - 0390.

(12)

Założeniem tego projektu jest opracowanie, ustanowienie i obsługiwanie wielonarodowego Centrum koordynacji działań w zakresie cyberprzestrzeni i informacji (CIDCC) jako stałego wielonarodowego elementu wojskowego.

(13)

W następstwie pierwszych dwóch posiedzeń strategicznej unijnej konferencji dowódców ds. obrony cyberprzestrzeni (CyberCo), które miały miejsce w styczniu i czerwcu 2022 r., unijni dowódcy ds. obrony cyberprzestrzeni postanowili ustanowić na swoim szczeblu forum o bardziej stałym charakterze.

(14)

Nieformalna grupa obejmująca odpowiednie służby Komisji, ESDZ, Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), CERT-UE i Europol, której współprzewodniczą Komisja i wysoki przedstawiciel.

(15)

Strategia UE w zakresie cyberbezpieczeństwa na cyfrową dekadę (JOIN/2020/18 final) oraz strategia UE w zakresie unii bezpieczeństwa (COM(2020) 605).

(16)

Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2021/694 z dnia 29 kwietnia 2021 r. ustanawiającym program „Cyfrowa Europa” oraz uchylającym decyzję (UE) 2015/2240, Dz.U. L 166 z 11.5.2021, s. 1, z zastrzeżeniem ewentualnych zmian.

(17)

  Wezwanie z Nevers do wzmocnienia zdolności UE w zakresie cyberbezpieczeństwa.

(18)

https://eda.europa.eu/publications-and-data/factsheets/factsheet-cyber-phalanx

(19)

https://www.pesco.europa.eu/project/cyber-ranges-federations-crf/

(20)

Konkluzje Rady w sprawie ram wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania cybernetyczne („zestaw narzędzi dla dyplomacji cyfrowej”).

(21)

https://cybernews.com/security/solarwinds-hack-the-mystery-of-one-of-the-biggest-cyberattacks-ever/

(22)

https://english.ncsc.nl/topics/log4j-vulnerability

(23)

Oświadczenie wysokiego przedstawiciela w imieniu Unii Europejskiej w sprawie szkodliwych działań w cyberprzestrzeni prowadzonych przez hakerów i grupy hakerów w kontekście rosyjskiej agresji na Ukrainę: https://www.consilium.europa.eu/pl/press/press-releases/2022/07/19/declaration-by-the-high-representative-on-behalf-of-the-european-union-on-malicious-cyber-activities-conducted-by-hackers-and-hacker-groups-in-the-context-of-russia-s-aggression-against-ukraine/

(24)

Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylającą dyrektywę (UE) 2016/1148, którą niedawno uzgodnili współprawodawcy i która ma zostać formalnie przyjęta do końca tego roku.

(25)

Wniosek dotyczący rozporządzenia w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi i zmieniające rozporządzenie (UE) 2019/1020, COM/2022/454 final.

(26)

https://digital-strategy.ec.europa.eu/pl/policies/nis-cooperation-group

(27)

Konkluzje Rady o rozwijaniu pozycji Unii Europejskiej w kwestiach cyberprzestrzeni; ST09364/22, 23 maja 2022 r.

(28)

  Wezwanie z Nevers do wzmocnienia zdolności UE w zakresie cyberbezpieczeństwa.

(29)

Wniosek dotyczący zalecenia Rady w sprawie skoordynowanego podejścia Unii do kwestii wzmocnienia odporności infrastruktury krytycznej, COM/2022/551 final .

(30)

Transformacja cyfrowa systemu energetycznego – plan działania UE, COM/2022/552 final.

(31)

Strategiczny kompas na rzecz bezpieczeństwa i obrony, 21 marca 2022 r., https://www.eeas.europa.eu/sites/default/files/documents/strategic_compass_en3_web.pdf

(32)

  Unijny zestaw narzędzi na potrzeby cyberbezpieczeństwa sieci 5G | Kształtowanie cyfrowej przyszłości Europy (europa.eu).

(33)

https://dnbl.ncia.nato.int/FMNPublic/SitePages/Home.aspx

(34)

 COM/2022/454 final.

(35)

COM(2021) 70 final.

(36)

Obecnie trwają prace normalizacyjne związane z wymogami dotyczącymi cyberbezpieczeństwa w odniesieniu do urządzeń radiowych na podstawie rozporządzenia delegowanego (UE) 2022/30. Jeżeli Komisja uchyli lub zmieni to rozporządzenie delegowane, w wyniku czego przestanie ono mieć zastosowanie do niektórych produktów objętych zakresem aktu dotyczącego cyberodporności, Komisja i europejskie organizacje normalizacyjne powinny uwzględnić prace normalizacyjne przeprowadzone w kontekście decyzji wykonawczej Komisji C(2022) 5637 w sprawie wniosku o normalizację odnośnie do powyższego rozporządzenia delegowanego przy przygotowywaniu i opracowywaniu norm zharmonizowanych. Ułatwi to wykonanie aktu dotyczącego cyberodporności.

(37)

Np. jak określono w Analizie luk inwestycyjnych w zakresie obronności.

(38)

Podjęto kilka inicjatyw, np. europejskie partnerstwo na rzecz umiejętności obronnych.

(39)

W Planie działania w zakresie technologii krytycznych Komisja wezwała do wzmocnienia współpracy w zakresie technologii, które mają zasadnicze znaczenie dla długoterminowego bezpieczeństwa i obronności Europy, oraz zwiększenia wysiłków na rzecz zmniejszenia powiązanych strategicznych zależności.

(40)

Wspólny komunikat w sprawie analizy luk inwestycyjnych w zakresie obronności i dalszych działań, w którym Komisja i wysoki przedstawiciel zaproponowali szereg środków mających na celu zapewnienie przemysłowi UE odpowiednich warunków do działania zarówno w perspektywie krótko-, jak i długoterminowej.

(41)

Zespoły szybkiego reagowania na cyberincydenty i pomoc wzajemna w zakresie cyberbezpieczeństwa (CRRT), Centrum koordynacji działań w zakresie cyberprzestrzeni i informacji (CIDCC), platforma wymiany informacji na temat cyberzagrożeń i reagowania na incydenty cybernetyczne (CTIRISP), Federacje cyberpoligonowe (CRF), Cyberakademia i centrum innowacji UE (EU CAIH).

(42)

W ramach Europejskiego programu rozwoju przemysłu obronnego (EDIDP) dofinansowano 6 projektów (PANDORA, DISCRETION, CYBER4DE, ECYSAP, SMOTANET i HERMES) z pomocą budżetu w wysokości 39 mln EUR. W ramach EFO (2021 r.) niemal 40 mln EUR otrzymają 3 wspólne projekty badawczo-rozwojowe w dziedzinie cyberobrony wybrane do finansowania (ACTING, AInception, EU-GUARDIAN).

(43)

Zespół projektowy ds. obrony cybernetycznej stanowi dla państw członkowskich forum, na którym można omawiać kwestie związane z cyberobroną, mające wpływ na kwestie wojskowe.

(44)

Nota informacyjna EDA dotycząca planu rozwoju zdolności (z 28.6.2018 r.): nota informacyjna dotycząca planu rozwoju zdolności .

(45)

Jak określono w programie badań strategicznych w zakresie cyberobrony oraz w Nadrzędnym strategicznym programie badawczym (OSRA).

(46)

Plan działania „Emerging Disruptive Technologies (EDTs): A capability-driven Action Plan” [„Powstające i przełomowe technologie: Plan działania ukierunkowany na zdolności”] został zatwierdzony 16 grudnia 2021 r. przez Radę Sterującą EDA w składzie dyrektorów ds. badań i technologii.

(47)

W tym JRC.

(48)

Obserwatorium technologii krytycznych, zapowiedziane w planie działania na rzecz synergii między przemysłem cywilnym, obronnym i kosmicznym.

(49)

Pierwszy etap planu działania EDA dotyczącego powstających i przełomowych technologii z 2021 r.

(50)

Drugi etap planu działania EDA z 2021 r.

(51)

CapTech zapewniają ekspertom z państw członkowskich możliwość korzystania z forów do tworzenia sieci kontaktów oraz z elastycznych ram na potrzeby realizacji projektów opartych na współpracy. Dodatkowe informacje na temat CapTech w kontekście cybernetyki (cyberprzestrzeń, cyberinformacje, cyberkomponenty) są dostępne pod adresem: https://eda.europa.eu/what-we-do/research-technology/capability-technology-areas-(captechs).

(52)

 W ramach OSRA wyznaczono odpowiednie obszary prowadzenia badań w dziedzinie obronności i rozwoju technologii obronnych, a także szczegółowo opisano konkretne możliwości współpracy. Ustanowiono 17 elementów składowych technologii wraz z ich planami działania w obszarze technologii powiązanymi z cybertechnologiami, które odnosiły się do orientacji sytuacyjnej w dziedzinie cyberobrony, ochrony wojskowych systemów komunikacji, przetwarzania informacji pochodzących z niejednorodnych źródeł, modelowania i symulacji, informatyki kwantowej i kryptografii, a także do analizy synergii między cyberoperacjami a walką radioelektroniczną. W procesie przetwarzania danych kluczową rolę odgrywają sztuczna inteligencja i duże zbiory danych.

(53)

Ramy ad hoc EDA ustanowiono w decyzji Rady (WPZiB) 2015/1835. Aktualnie w kontekście tych ram wdrażanych jest 6 projektów zawierających elementy powiązane z cybertechnologiami – budżet przeznaczony na ich realizacji opiewa na ok. 20 mln EUR (ANQUOR, CERERE, EDA SOC 2, MASFAD II, PASEI II, ASSAI).

(54)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/887 z dnia 20 maja 2021 r. ustanawiające Europejskie Centrum Kompetencji Przemysłowych, Technologicznych i Badawczych w dziedzinie Cyberbezpieczeństwa oraz sieć krajowych ośrodków koordynacji.

(55)

Jak określono we wspólnym komunikacie w sprawie analizy luk inwestycyjnych w zakresie obronności i dalszych działań.

(56)

Łączna liczba MŚP działających w wielowarstwowych i często transgranicznych łańcuchach dostaw dla sektora obronnego szacowana jest w UE na 2 500. Przedsiębiorstwa te obsługują klientów z sektora obronności, przy czym 7,8 % ich działalności jest związane z cybernetyką.

(57)

W ramach programu „Horyzont Europa” przewiduje się, że synergie z EFO przyniosą korzyści w zakresie badań cywilnych i obronnych, chociaż działania w ramach programu ramowego będą koncentrować się wyłącznie na zastosowaniach cywilnych.

(58)

https://www.pesco.europa.eu/project/eu-cyber-academia-and-innovation-hub-eu-caih/

(59)

https://www.nato.int/strategic-concept/

(60)

Podpisane odpowiednio w 2016 r. i 2018 r.