Opublikowane we wtorek opracowanie "EU Cybersecurity Dashboard" jest poświęcone cyberbezpieczeństwu, czyli procesowi zapewniania bezpiecznego funkcjonowania systemów teleinformatycznych. Raport został przygotowany przez Business Software Alliance (BSA) - branżową organizację reprezentującą producentów oprogramowania i sprzętu komputerowego. Jej członkami są m.in. Apple, Adobe, Dell, IBM, Intel, Microsoft, Oracle i Symantec.

Autorzy raportu zauważyli, że większość państw Unii uznaje, iż działania na rzecz bezpieczeństwa cybernetycznego i zapobiegania cyberprzestępczości, ze szczególnym uwzględnieniem ochrony infrastruktury krytycznej, powinny należeć do ważnych priorytetów narodowych.

Równocześnie podkreślono, że istnieją znaczne rozbieżności między politykami cyberbezpieczeństwa, ramami prawnymi i zdolnościami operacyjnymi państw członkowskich, co skutkuje poważnymi brakami w cyberbezpieczeństwie w Europie. We wszystkich krajach UE, z wyjątkiem Cypru, istnieją zespoły reagowania na incydenty komputerowe (CERT), choć ich zadania i doświadczenia są bardzo zróżnicowane.

"Jednym z istotnych braków jest niedobór systematycznej współpracy (władz) z podmiotami pozarządowymi oraz partnerstwa publiczno-prywatnego" – stwierdzono w opracowaniu. Ugruntowane ramy dla takich partnerstw istnieją tylko w Austrii, Niemczech, Holandii, Hiszpanii i Wielkiej Brytanii.

Zdaniem autorów taka sytuacja pozostawia duży obszar, który nie jest wykorzystywany do skutecznej i dobrowolnej współpracy rządów i sektora prywatnego. Tymczasem prywatne firmy są właścicielami i operatorami większości komercyjnej infrastruktury krytycznej w Europie; chodzi o takie sektory jak transport, zdrowie, bankowość i energetyka.

Jak napisano, znaczących wysiłków będzie wymagało także osiągnięcie spójnego podejścia i wspólnego poziomu bezpieczeństwa cybernetycznego w UE. Zdaniem autorów raportu projektowana dyrektywa UE w sprawie zapewnienia wspólnego wysokiego poziomu bezpieczeństwa sieci teleinformatycznych i przetwarzanych w nich informacji jest okazją, by skupić się na ochronie najważniejszych usług i zasobów. Dyrektywa – oceniono – może odegrać kluczową rolę w wypełnieniu luk w cyberbezpieczeństwie w Europie.

"Jeśli państwa członkowskie UE mogą dostosować swoje podejście do bezpieczeństwa cybernetycznego i doprowadzić ich zdolności do porównywalnego spójnego poziomu, będzie to duży krok w kierunku osiągnięcia prawdziwego jednolitego rynku cyfrowego w UE" – podkreślono.

Raport nie zawiera rankingu krajów członkowskich, a jedynie ich krótkie opisy połączone z odpowiedziami na 25 pytań. W odniesieniu do Polski podkreślono istnienie wyczerpującej strategii cyberbezpieczeństwa (chodzi o przyjętą w 2013 r. politykę ochrony cyberprzestrzeni RP), ale stwierdzono też, że ramy prawne wciąż nie zostały w pełni rozwinięte. Odnotowano przyjęcie w 2013 r. narodowego programu ochrony infrastruktury krytycznej. Zauważono jednocześnie, że żaden z aktów prawnych nie wymaga prowadzenia okresowych audytów z dziedziny cyberbezpieczeństwa, istnieje natomiast obowiązek zgłaszania incydentów komputerowych. Podkreślono, że nie istnieje partnerstwo publiczno-prywatne na rzecz cyberbezpieczeństwa, ani żadne takie przedsięwzięcie nie jest planowane.

W raporcie dla każdego z krajów członkowskich przeanalizowano pięć kluczowych obszarów polityki cyberbezpieczeństwa – podstawy prawne, zdolności operacyjne, partnerstwo publiczno-prywatne, sektorowe plany cyberbezpieczeństwa i edukację. Analizy oparto na publicznie dostępnych informacjach. Jak twierdzą autorzy, opublikowany we wtorek raport jest pierwszym tego typu dokumentem.