Autorzy raportu zauważyli, że większość państw Unii uznaje, iż działania na rzecz bezpieczeństwa cybernetycznego i zapobiegania cyberprzestępczości, ze szczególnym uwzględnieniem ochrony infrastruktury krytycznej, powinny należeć do ważnych priorytetów narodowych.
Równocześnie podkreślono, że istnieją znaczne rozbieżności między politykami cyberbezpieczeństwa, ramami prawnymi i zdolnościami operacyjnymi państw członkowskich, co skutkuje poważnymi brakami w cyberbezpieczeństwie w Europie. We wszystkich krajach UE, z wyjątkiem Cypru, istnieją zespoły reagowania na incydenty komputerowe (CERT), choć ich zadania i doświadczenia są bardzo zróżnicowane.
"Jednym z istotnych braków jest niedobór systematycznej współpracy (władz) z podmiotami pozarządowymi oraz partnerstwa publiczno-prywatnego" – stwierdzono w opracowaniu. Ugruntowane ramy dla takich partnerstw istnieją tylko w Austrii, Niemczech, Holandii, Hiszpanii i Wielkiej Brytanii.
Zdaniem autorów taka sytuacja pozostawia duży obszar, który nie jest wykorzystywany do skutecznej i dobrowolnej współpracy rządów i sektora prywatnego. Tymczasem prywatne firmy są właścicielami i operatorami większości komercyjnej infrastruktury krytycznej w Europie; chodzi o takie sektory jak transport, zdrowie, bankowość i energetyka.
Jak napisano, znaczących wysiłków będzie wymagało także osiągnięcie spójnego podejścia i wspólnego poziomu bezpieczeństwa cybernetycznego w UE. Zdaniem autorów raportu projektowana dyrektywa UE w sprawie zapewnienia wspólnego wysokiego poziomu bezpieczeństwa sieci teleinformatycznych i przetwarzanych w nich informacji jest okazją, by skupić się na ochronie najważniejszych usług i zasobów. Dyrektywa – oceniono – może odegrać kluczową rolę w wypełnieniu luk w cyberbezpieczeństwie w Europie.
"Jeśli państwa członkowskie UE mogą dostosować swoje podejście do bezpieczeństwa cybernetycznego i doprowadzić ich zdolności do porównywalnego spójnego poziomu, będzie to duży krok w kierunku osiągnięcia prawdziwego jednolitego rynku cyfrowego w UE" – podkreślono.
Raport nie zawiera rankingu krajów członkowskich, a jedynie ich krótkie opisy połączone z odpowiedziami na 25 pytań. W odniesieniu do Polski podkreślono istnienie wyczerpującej strategii cyberbezpieczeństwa (chodzi o przyjętą w 2013 r. politykę ochrony cyberprzestrzeni RP), ale stwierdzono też, że ramy prawne wciąż nie zostały w pełni rozwinięte. Odnotowano przyjęcie w 2013 r. narodowego programu ochrony infrastruktury krytycznej. Zauważono jednocześnie, że żaden z aktów prawnych nie wymaga prowadzenia okresowych audytów z dziedziny cyberbezpieczeństwa, istnieje natomiast obowiązek zgłaszania incydentów komputerowych. Podkreślono, że nie istnieje partnerstwo publiczno-prywatne na rzecz cyberbezpieczeństwa, ani żadne takie przedsięwzięcie nie jest planowane.
W raporcie dla każdego z krajów członkowskich przeanalizowano pięć kluczowych obszarów polityki cyberbezpieczeństwa – podstawy prawne, zdolności operacyjne, partnerstwo publiczno-prywatne, sektorowe plany cyberbezpieczeństwa i edukację. Analizy oparto na publicznie dostępnych informacjach. Jak twierdzą autorzy, opublikowany we wtorek raport jest pierwszym tego typu dokumentem.