Poziom technologii IT, szczególnie technologii informacyjno-komunikacyj-nej (ang. Information and Communication Technology, ICT), stał się wyznaczni-kiem potęgi współczesnych państw, zarówno w relacjach społecznych, jak też w stosunkach międzynarodowych. Powszechny dostęp do Internetu przyczynił się do powstania globalnego społeczeństwa informacyjnego, dla którego przetwarza-nie i wymiana informacji przestały być zależne od odległości6. W każdym obsza-rze życia społecznego i gospodarczego odnotowano postęp związany z niczym nie-skrępowanym dostępem do informacji i możliwością ich wykorzystania. Z jednej strony Internet uczy, bawi, ułatwia codzienne funkcjonowanie chociażby poprzez dostęp do wysoko rozwiniętych usług z dziedziny bankowości, finansów, teleko-munikacji, informatyki, handlu itd. Z drugiej zaś strony upowszechnienie Inter-netu, wzajemne oddziaływania w cyberprzestrzeni stworzyły zagrożenia w wymia-rze wcześniej nieznanym, tak dla jednostki i społeczeństwa, jak i struktur państwa.
Termin cyberprzestrzeni funkcjonuje zarówno w literaturze przedmiotu, jak też w aktach prawnych7. Definiowanie cyberprzestrzeni jako globalnej wirtualnej
4 Tekst jedn. Dz.U. z 2020 r., poz. 1369.
5 Wspólny Komunikat Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów; Strategia bezpieczeństwa cybernetycznego Unii Europejskiej:
otwarta, bezpieczna i chroniona cyberprzestrzeń (https://eur-lex.europa.eu/legal-content/PL/
TXT/?uri=CELEX%3A52013JC0001) (dostęp: 4.09.2020 r.).
6 Więcej na temat społeczeństwa informacyjnego S. Buregwa-Czuma, K. Garwol, Definicje, właści-wości i funkcje społeczeństwa informacyjnego,Cejsh.icm.edu.pl, Vol. 6, s. 30–37, „Dydaktyka In-formatyki” 2011.
7 Zob.: Wstęp do uchwały nr 125 Rady Ministrów z dnia 22 października 2019 roku w sprawie Stra-tegii cyberbezpieczeństwa RP na lata 2019–2024, według której: „Cyberprzestrzeń to przestrzeń przetwarzania i wymiany informacji, tworzona przez systemy teleinformatyczne, określone w ar-tykule 3 pkt 3 ustawy z dnia 17 lutego 2005 roku o informatyzacji działalności podmiotów reali-zujących zadania publiczne (Dz.U. 2019 r., poz. 700 i in.), wraz z powiązaniami między nimi oraz relacjami z użytkownikami – zgodnie z artykułem 2 ust. 1b ustawy z dnia 29 sierpnia 2002 roku o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej (Dz.U. 2019 r., poz. 1932)”.
103 przestrzeni informacyjnej, w której odbywa się komunikacja między komputerami połączonymi w sieć internetową8, czy też „świata sprzężonych ze sobą sieci kom-puterowych z wszelkimi możliwościami jej eksploatacji9, podkreśla jej strate-giczne znaczenie dla systemu bezpieczeństwa państwa podlegającego szczególnej ochronie. To właśnie w tym obszarze pojawiają się zagrożenia, które w konse-kwencji mogą doprowadzić do destabilizacji struktur państwowych. Zagrożenia w sieci stały się na tyle realne, że w powszechnym obiegu znalazły się pojęcia takie jak: cyberwojna, cyberterroryzm, cyberszpiegostwo, cyberkonflikt, cybersa-botaż, czy cyberprzestępstwo. Stały się one wyzwaniem dla cyberbezpieczeństwa definiowanego ustawowo jako odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.
W Unii Europejskiej przyjęto, że: „Bezpieczeństwo cybernetyczne ogólnie odnosi się do zabezpieczeń i działań, które mogą być wykorzystywane do ochrony domeny cybernetycznej, zarówno cywilnej, jak i wojskowej, przed tymi zagro- żeniami, które dotyczą jej współzależnych sieci i infrastruktury informatycznej oraz które mogą te sieci i tę infrastrukturę uszkodzić. Bezpieczeństwo cyber- netyczne polega na działaniach mających na celu zachowanie dostępności i in- tegralności sieci i infrastruktury oraz zachowanie poufności zawartych w nich informacji”10.
Rosnący dostęp do Internetu również na obszarach niezurbanizowanych obrazują dane Internet World Stats z 2020 roku11 przedstawione w tabeli 1, z któ-rych wynika, że Europa odnotowała na przestrzeni ostatnich 20 lat największy wzrost upowszechnienia Internetu.
Podobny obraz wyłania się z danych Eurostatu za 2018 rok, wskazujących na wzrost odsetka gospodarstw domowych w Unii Europejskiej, posiadających do-stęp do Internetu w ostatnich 10 lat. I tak oto:
• do 2018 r. odsetek gospodarstw domowych w UE-28 posiadających dostęp do sieci zwiększył się do 89% – wzrost o 29 punktów procentowych w porównaniu z 2008 r.,
• w 2018 r. z dostępu do szerokopasmowego Internetu korzystało 86% go-spodarstw domowych w UE-28, co oznacza, że odsetek ten był o 38 punk-tów procentowych wyższy niż w 2008 r. (48%),
8 Słownik języka polskiego, http://sjp.pwn.pl/sjp/cyberprzestrzen-2353915...
9 A. Golonka, Cyberprzestępczość – międzynarodowe standardy zwalczania zjawiska a polskie re-gulacje karne, s.64, https://sp.ka.edu.pl/numery/2016-1/studia-prawnicze-rim-2016-1-golonka.
pdf i tam cytowany R. Łukasiewicz, Rozwój informatyczny a cyberterroryzm [w:] Wojna z terro-ryzmem w XXI wieku, red. B. Hołyst, K. Jałoszyński, A. Letkiewicz, Szczytno 2009, s. 110.
10 Strategia cyberbezpieczeństwa Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprze-strzeń, Bruksela, 2013,www.europarl.europa.eu/meetdocs/2009_2014/documents/join/com_join (2013)0001_/com_join(2013)0001_pl.pdf (dostęp: 04.09.2020 r.).
11 INTERNET USAGE STATISTICS. The Internet Big Picture. World Internet Users and 2020 Population Stats, www.internetworldstats.com (dostęp: 05.09.2020 r.).
• odsetek osób w wieku od 16 do 74 lat w UE-28, którzy zamawiali lub ku-powali towary lub usługi przez Internet na potrzeby prywatne, w 2018 r.
wyniósł 60%12.
Tabela 1. Światowe wykorzystanie Internetu i statystyka ludności (szacunki za II kwartał roku 2020)
Regiony
Wraz z dynamiką rozwoju sieci teleinformatycznych w Europie, zwiększyła się świadomość zagrożeń, jakie towarzyszą zarówno osobom prywatnym, jak też podmiotom publicznym przy korzystaniu z nieograniczonego dostępu do Internetu i usług cyfrowych. Państwa Unii Europejskiej odnotowując jeden z najwyższych poziomów upowszechnienia Internetu na świecie, stały się szczególnym celem ata-ków cybernetycznych, ponosząc związane z tym rozliczne konsekwencje. Pomimo świadomości zagrożeń cyberprzestrzeni, polityka Unii Europejskiej w zakresie bezpieczeństwa cybernetycznego ewoluowała na przestrzeni wielu lat, dostrzega-jąc tak naprawdę wymiar tego problemu dopiero w 2013 roku.
W dniu 14 lutego 2013 roku Komisja Europejska wraz z Wysokim Komisa-rzem Unii ds. Zagranicznych i Polityki Bezpieczeństwa, we Wspólnym Komuni-kacie do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekono-miczno-Społecznego i Komitetu Regionów przedstawiła strategię bezpieczeństwa cybernetycznego Unii Europejskiej „Otwarta, bezpieczna i chroniona cyberprze-strzeń”13. Obserwując siłę Internetu i jego wpływ na wszystkie aspekty życia spo-łecznego i gospodarczego podkreślono, że cyberprzestrzeń powinna pozostać
12 Dane statystyczne dotyczące gospodarki cyfrowej i społeczeństwa cyfrowego – gospodarstwa do-mowe i osoby fizyczne, www.ec.europa.eu (dostęp: 05.09.2020 r.).
13 Wspólny Komunikat do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekono-miczno-Społecznego i Komitetu Regionów „Strategia bezpieczeństwa cybernetycznego Unii
105 otwarta i wolna, bo tylko taka stanowi forum dla wymiany informacji i pomysłów w skali światowej, tylko taka gwarantuje realizację praw podstawowych i wolność słowa oraz daje społeczeństwom szansę na walkę o bardziej demokratyczne i spra-wiedliwe rządy – co uwidoczniło się podczas „arabskiej wiosny”. Technologie cy-frowe dynamizując wzrost gospodarczy w krajach Unii, wpływają bezpośrednio na poprawę jakości życia jej mieszkańców. Uzasadniając potrzebę opracowania strategii bezpieczeństwa cybernetycznego stwierdzono, że wraz ze wzrostem wy-miernych korzyści, jakie daje Internet, staje się on coraz bardziej podatny na za-grożenia, tworząc u jego użytkowników poczucie niepewności. Tempo wzrostu incydentów w cyberprzestrzeni, zarówno umyślnych, jak i niezamierzonych, za-kłócających działanie sieci energetycznych, sieci telefonii komórkowych, dostaw wody czy usług zdrowotnych zaktywizowało działania poszczególnych rządów do opracowania strategii bezpieczeństwa cybernetycznego.
Prezentując założenia strategii cyberbezpieczeństwa Unii Europejskiej, Ko-misja Europejska wraz z Wysokim Przedstawicielem Unii zarysowała następujący program:
• osiągnięcie odporności na zagrożenia cybernetyczne poprzez zaangażowa-nie zarówno organów publicznych, jak i sektora prywatnego w poprawę zdolności, zwiększenia zasobów i usprawniania procedur zapobiegających incydentom w cyberświecie;
• radykalne ograniczenie cyberprzestępczości poprzez stworzenie rygory-stycznego i skutecznego prawa;
• opracowanie polityki obronnej i rozbudowa zdolności bezpieczeństwa cy-bernetycznego w powiązaniu ze wspólną polityką bezpieczeństwa i obrony UE, wykorzystując w tym względzie współdziałanie cywilnych i wojsko-wych koncepcji dotyczących ochrony krytycznych zasobów cybernetycz-nych;
• rozbudowa zasobów przemysłowych i technologicznych na potrzeby bez-pieczeństwa cybernetycznego poprzez między innymi wspieranie jednoli-tego rynku produktów związanych z bezpieczeństwem w sieci, popytem na produkty o wysokim poziomie bezpieczeństwa oraz uruchomienie plat-formy publiczno-prywatnej dla rozwiązań w dziedzinie bezpieczeństwa sieci i informacji, które mogą być wykorzystane w Europie.
Odwołując się do konieczności radykalizacji przepisów prawnych zwalczają-cych cyberprzestępczość, autorzy strategii odnieśli powyższe do:
• dyrektywy 2011/93/UE o zwalczaniu wykorzystywania seksualnego dzieci w Internecie;
• dyrektywy 2013/40/UE dotyczącej ataków na systemy informatyczne (za-wierającej normy przestępstw komputerowych);
• powołania Europejskiego Centrum do spraw Walki z Cyberprzestępczością (EC3) w ramach Europolu.
Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń”, https://eur-lex.europa.eu/legal-content/PL/ALL/?uri=CELEX:52013JC0001 (dostęp: 05.09.2020 r.).
Unia Europejska zapewniła wsparcie działań państw członkowskich poprzez przyjęcie skoordynowanego i opartego na współpracy podejścia, skupiającego or-gany ścigania i oror-gany sądowe oraz inne, zainteresowane podmioty z sektora pu-blicznego i prywatnego z UE i spoza jej granic14. Strategia unijna uznała za powin-ność każdego państwa członkowskiego utworzenie struktur przeznaczonych do działań w zakresie podniesienia odporności cybernetycznej, cyberprzestępczości i obrony. Uznano, że państwa członkowskie na poziomie krajowym powinny stwo-rzyć własne strategie bezpieczeństwa cybernetycznego, w których zostaną okre-ślone role i obowiązki poszczególnych organów krajowych. W końcowych wnio-skach autorzy strategii uznali, że wizja w niej przedstawiona zostanie zrealizowana jedynie na zasadzie partnerstwa między wieloma podmiotami, co może doprowa-dzić do uczynienia środowiska internetowego w UE najbezpieczniejszym na świe-cie przy jednoczesnej ochronie i wspieraniu praw obywateli.
Strategia cyberbezpieczeństwa, której główne założenia przywołano powy-żej, była pierwszym kompleksowym rozwiązaniem obejmującym wszystkie aspekty tego problemu. Bez wątpienia wpływ na opracowanie i zdynamizowanie działań Unii w tej sferze miały wydarzenia związane z cyberatakami w kwietniu i maju 2007 roku w Estonii, które powszechnie przypisuje się rosyjskim hakerom15 oraz ataki na rządowe strony internetowe i serwery w Gruzji podczas konfliktu gruzińsko-rosyjskiego w 2008 roku16.
Wpływ konfliktu ukraińsko-rosyjskiego z 2014 roku, w którym odnotowano cyberataki na sieć energetyczną Ukrainy były z kolei asumptem do uszczegóło-wienia założeń Strategii bezpieczeństwa cybernetycznego Unii w zakresie cyber-obrony. 18 listopada 2014 roku Rada Unii Europejskiej zatwierdziła Ramy polityki UE w zakresie cyberobrony, skoncentrowane wokół wspólnej polityki bezpieczeń-stwa i obrony (WPBiO)17. Za priorytetowe uznano:
• wspieranie rozwijania związanych z WPBiO zdolności państw członkow-skich w zakresie cyberobrony,
• usprawnienie ochrony sieci łączności związanych z WPBiO wykorzysty-wanych przez podmioty UE,
• propagowanie współpracy i synergii cywilno-wojskowych z szerzej poję-tymi politykami cybernetycznymi UE, odpowiednimi instytucjami i agen-cjami UE, a także z sektorem prywatnym,
• badania i technologia we współpracy z sektorem prywatnym i środowi-skiem naukowym,
• poprawa możliwości w zakresie szkolenia, kształcenia i ćwiczeń,
14 Tamże.
15 Estonia – pierwsza ofiara cybernetycznej wojny, https://wiadomosci.onet.pl/tylko-w-onecie/
estonia-pierwsza-ofiara-cybernetycznej-wojny/t3czdg5 (dostęp: 05.09.2020 r.).
16 Cyberatak na Gruzję, https://kopalniawiedzy.pl/Gruzja-Rosja-atak,5438(dostęp 05.09.2020 r.).
17 Ramy polityki UE w zakresie cyberobrony, https://data.consilium.europa.eu/doc/document/
ST-15585-2014-INIT/pl/pdf (dostęp: 05.09.2020 r.).
107
• zacieśnianie współpracy z odpowiednimi partnerami międzynarodowymi, a w szczególności z NATO18.
Zapewnienie bezpieczeństwa łączności elektronicznej, infrastruktury oraz usług łączności elektronicznej, w szczególności ich integralności, dostępności i poufności stało się motywem przewodnim Rozporządzenia Parlamentu Europej-skiego i Rady (UE) nr 526/2013 z dnia 21 maja 2013 r. w sprawie Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA)19, na mocy którego rozszerzono i doprecyzowano rolę europejskiej Agencję ENISA, stanowiącej spe-cjalistyczne centrum ds. cyberbezpieczeństwa w Europie.
Rozporządzenie przydzieliło Agencji rolę ośrodka wiedzy wspierającego In-stytucje Unii i państwa członkowskie w podnoszeniu poziomu bezpieczeństwa w sieci. Niezależnie od sektorowych regulacji prawnych, chroniących cyberprze-strzeń, już w 2013 roku rozpoczęła się procedura tworzenia kompleksowego roz-wiązania dotyczącego cyberbezpieczeństwa w Unii Europejskiej, któremu nadano wymiar dyrektywy.
„Sieci oraz systemy i usługi informatyczne pełnią ważną rolę w społeczeń-stwie, a ich niezawodność i bezpieczeństwo mają zasadnicze znaczenie dla dzia-łalności gospodarczej i społecznej, w szczególności dla funkcjonowania rynku we-wnętrznego” – tymi słowami ustawodawca europejski rozpoczyna dyrektywę nr 2016/1148 NIS (Network and Information Systems Directive) z 6 lipca 2016 roku poświęconą działaniom na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii20. Uzasadniając cel uchwa-lenia tego najważniejszego obecnie aktu europejskiego, wyznaczającego kierunki cyberbezpieczeństwa, w preambule wskazano, że „skala, częstotliwość oraz wpływ incydentów w zakresie bezpieczeństwa stają się coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. Sys-temy te mogą się również stać obiektem umyślnych szkodliwych działań, mają-cych na celu uszkodzenie lub przerwanie ich działania. Tego typu incydenty mogą utrudniać prowadzenie działalności gospodarczej, powodować znaczne straty fi-nansowe, podważać zaufanie użytkowników oraz powodować poważne straty w gospodarce Unii... Obecne zdolności nie są wystarczające do zapewnienia wy-sokiego poziomu bezpieczeństwa sieci i systemów informatycznych w Unii. Pań-stwa członkowskie bardzo się różnią pod względem poziomu gotowości, co powo-duje niejednolite podejście w ramach Unii. Prowadzi to do nierównego poziomu ochrony konsumentów i przedsiębiorców oraz negatywnie wpływa na ogólny po-ziom bezpieczeństwa sieci i systemów informatycznych w Unii”21.
18 Tamże.
19 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 526/2013 z dnia 21 maja 2013 r.
w sprawie Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz uchy-lające Rozporządzenie (WE) nr 460/2004, motyw 1 (Dz. Urz. UE.L 2013, nr 165, s. 41).
20 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycz-nych na terytorium Unii z dnia 6 lipca 2016 r. (Dz. Urz. UE.L nr 194, s. 1).
21 Tamże.
Dyrektywa w sposób kompleksowy i międzysektorowy reguluje zagadnienia związane z bezpieczeństwem w cyberprzestrzeni, zobowiązując państwa człon-kowskie do zapewnienia minimalnego poziomu zdolności krajowych w tej dzie-dzinie poprzez ustanowienie organów właściwych oraz pojedynczego punktu kon-taktowego do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na in-cydenty komputerowe (CSIRT) oraz przyjęcie krajowych strategii w zakresie cy-berbezpieczeństwa22.
Zagadnienia prawne skupiają się wokół trzech wiodących tematów:
• instytucji, jakie powinny powstać we wszystkich państwach członkow-skich,
• współpracy na poziomie europejskim,
• zobowiązań w zakresie bezpieczeństwa sieci i informacji.
Dyrektywa NIS wyposażyła organy publiczne w precyzyjnie określone na-rzędzia do przeciwdziałania i reagowania na incydenty w cyberprzestrzeni. Doty-czy to obowiązkowego raportowania, skoordynowania przepływu informacji Doty-czy też zinstytucjonalizowania współpracy CSIRT-ów23. Państwa członkowskie zo-stały zobowiązane do uchwalenia narodowej strategii w zakresie bezpieczeństwa sieci i systemów informatycznych określającej cele strategiczne i konkretne dzia-łania z zakresu polityki, które należy wdrożyć24.