Navigation path

Left navigation

Additional tools

Komisja Europejska - Zestawienie informacji

Orędzie o stanie Unii 2017: Komisja zwiększa zdolności reagowania na ataki cybernetyczne

Bruksela, 19 września 2017 r.

Pytania i odpowiedzi

Dlaczego UE musi podjąć działania w zakresie bezpieczeństwa cybernetycznego? 

Od 2013 r. w Unii Europejskiej zachodzą w bardzo szybkim tempie zmiany w zakresie technologii i bezpieczeństwa. Technologie cyfrowe stanowią obecnie nieodłączną część naszej codzienności i trzon naszej gospodarki. Rewolucja internetu rzeczy jest rzeczywistością, a do 2020 r. z internetem będą się łączyć dziesiątki miliardów urządzeń. Jednocześnie stale rośnie liczba i różnorodność zagrożeń cybernetycznych.

Wobec niedawnych ataków z użyciem oprogramowania typu ransomware, drastycznego wzrostu cyberprzestępczości, coraz częstszego korzystania przez podmioty państwowe z narzędzi sieciowych do realizacji celów geopolitycznych, a także wobec dywersyfikacji incydentów cybernetycznych UE musi zwiększyć swoją odporność na cyberataki, tworząc skuteczne metody zapobiegania im, w tym za pośrednictwem prawa karnego, aby lepiej chronić obywateli, przedsiębiorstwa i instytucje publiczne w Europie. Jak zapowiedział przewodniczący Jean-Claude Juncker w orędziu o stanie Unii wygłoszonym 13 września, Komisja i Wysoka Przedstawiciel występują dziś z wnioskiem, by zwiększyć odporność UE i zintensyfikować jej reakcję na cyberataki przez wzmocnienie Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), utworzenie ogólnounijnych ram certyfikacji bezpieczeństwa cybernetycznego, opracowanie planu skoordynowanego reagowania na wypadek wystąpienia incydentów i kryzysów cybernetycznych na dużą skalę oraz utworzenie Europejskiego Centrum Badań Naukowych i Kompetencji w dziedzinie Bezpieczeństwa Cybernetycznego. Przedstawione dziś wnioski obejmują również nową dyrektywę w sprawie zwalczania fałszowania i oszustw związanych z bezgotówkowymi środkami płatniczymi w celu zapewnienia bardziej skutecznego prawa karnego w odpowiedzi na ataki cybernetyczne, a także ramy wspólnej reakcji dyplomatycznej UE na szkodliwe działania cybernetyczne oraz działania w celu wzmocnienia współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa.

Ten zakrojony na szeroką skalę pakiet dotyczący bezpieczeństwa cybernetycznego bazuje na istniejących instrumentach i zawiera nowe inicjatywy w celu dalszego zwiększenia odporności UE i poprawy jej reagowania na zagrożenia cybernetyczne w trzech kluczowych obszarach:

  • budowanie odporności UE na ataki cybernetyczne oraz zwiększenie jej potencjału w zakresie bezpieczeństwa cybernetycznego;
  • stworzenie skutecznych instrumentów prawa karnego;
  • wzmocnienie stabilności na świecie dzięki współpracy międzynarodowej.

Fakty i liczby

Skala problemu wymaga pilnego podjęcia działań. Najnowsze dane wskazują, że zagrożenia cyfrowe rosną w szybkim tempie: od początku 2016 r. na całym świecie każdego dnia odnotowywano ponad 4 tys. ataków z użyciem oprogramowania typu ransomware, co oznacza wzrost o 300 proc. od 2015 r., przy czym w ciągu ostatniego roku ataki te dotknęły 80 proc. europejskich przedsiębiorstw. Badania sugerują, że gospodarcze skutki zjawiska cyberprzestępczości wzrosły pięciokrotnie w okresie od 2013 do 2017 r., a do roku 2019 mogłyby wzrosnąć czterokrotnie. Szczególnie wzrosła liczba ataków z użyciem oprogramowania typu ransomware, a niedawne ataki świadczą o bardzo intensywnym wzmożeniu działalności przestępczej. Ataki z użyciem oprogramowania typu ransomware nie są jednak jedynym zagrożeniem.

Coraz więcej Europejczyków postrzega cyberprzestępczość także jako istotne zagrożenie dla Unii Europejskiej, według wyników badania Eurobarometr. Zdaniem 87 proc. respondentów cyberprzestępczość stanowi poważne wyzwanie w zakresie bezpieczeństwa wewnętrznego UE, a większość z nich obawia się, że padnie ofiarą różnych form cyberprzestępczości, przy czym najwięcej osób obawia się wykrycia złośliwego oprogramowania na swych urządzeniach (69 proc.), kradzieży tożsamości (69 proc.) i kradzieży kart bankowych oraz oszustw dotyczących bankowości internetowej (66 proc.). Dwie najczęstsze obawy dotyczące płatności online dotyczą bezprawnego wykorzystywania danych osobowych (wskazanego przez 45 proc. respondentów) i bezpieczeństwa transakcji (42 proc.). Zmobilizowało to wiele osób do podjęcia kroków w celu poprawy swego bezpieczeństwa w internecie; 62 proc. respondentów zmieniło hasło w ciągu ostatnich sześciu miesięcy, a 45 proc. zainstalowało oprogramowanie antywirusowe. Niektóre osoby wręcz zaprzestały wykorzystywania transakcji internetowych: 12 proc. ograniczyło zakupy online, a 10 proc. przestało korzystać z bankowości internetowej.

1. Budowanie odporności UE na ataki cybernetyczne

Dlaczego Komisja proponuje utworzyć silną agencję UE ds. bezpieczeństwa cybernetycznego?

Obecny mandat Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), z siedzibą w Grecji, wygaśnie w czerwcu 2020 r. W świetle znaczących zmian, które zaszły w zakresie cyberbezpieczeństwa od czasu przyjęcia rozporządzenia w sprawie ENISA, Komisja postanowiła przyspieszyć proces oceny i przeglądu mandatu tej agencji. 

Do tej pory zadaniem ENISA było głównie udostępnianie specjalistycznej wiedzy i doradztwo, a nie podejmowanie działań związanych z bezpieczeństwem cybernetycznym. Rola ta zaczęła się już zmieniać. Na mocy dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych (dyrektywa dotycząca bezpieczeństwa cybernetycznego) formalnie utworzono sieć zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) w państwach członkowskich, zaś ENISA zapewnia obsługę sekretariatu tej sieci.

Obecnie Komisja proponuje przekształcić ENISA w silniejszą Agencję UE ds. Bezpieczeństwa Cybernetycznego, dysponującą stałym mandatem, większymi środkami operacyjnymi i stabilną bazą na przyszłość. Głównym celem agencji ma być wspieranie państw członkowskich we wdrażaniu dyrektywy dotyczącej bezpieczeństwa cybernetycznego. Aby odzwierciedlić faktyczną sytuację i nowe potrzeby w zakresie bezpieczeństwa cybernetycznego, agencji powierzone zostaną nowe zadania i przekazane zasoby w dziedzinach takich jak: współpraca operacyjna i certyfikacja bezpieczeństwa technologii informacyjno-komunikacyjnych (ICT). ENISA będzie zatem odgrywać ważną rolę w obszarze certyfikacji bezpieczeństwa cybernetycznego w UE, gdyż we współpracy z organami certyfikacji w państwach członkowskich przygotuje projekt europejskiego systemu certyfikacji bezpieczeństwa cybernetycznego. Nowy mandat agencji, jej cele i zadania będą przedmiotem regularnych przeglądów.

Dlaczego Komisja proponuje stworzyć unijne ramy certyfikacji cyberbezpieczeństwa produktów i usług ICT?

Certyfikacja bezpieczeństwa ICT odgrywa ważną rolę w zwiększaniu bezpieczeństwa i zaufania do produktów i usług, co ma zasadnicze znaczenie dla sprawnego funkcjonowania jednolitego rynku cyfrowego. Obecnie w UE funkcjonuje szereg różnych systemów certyfikacji bezpieczeństwa produktów ICT (np. w Francji Certification Sécuritaire de Premier Niveau, w Zjednoczonym Królestwie Commercial Product Assurance). Chociaż inicjatywy te potwierdzają znaczenie certyfikacji, istnieje ryzyko, że funkcjonowanie wielu systemów certyfikacji doprowadzi do powstania barier na jednolitym rynku i do jego fragmentacji. Na przykład inteligentne liczniki trzeba obecnie poddawać odrębnemu procesowi certyfikacji we Francji, w Zjednoczonym Królestwie i w Niemczech.

Z drugiej strony, jedno uniwersalne podejście do certyfikacji bezpieczeństwa cybernetycznego nie przystaje do dużej różnorodności produktów i usług ICT. W związku z tym Komisja proponuje stworzenie europejskich ram certyfikacji bezpieczeństwa cybernetycznego, które pozwolą stworzyć szereg oddzielnych systemów certyfikacji bezpieczeństwa cybernetycznego, tj. przejrzystych opisów wymogów bezpieczeństwa, które produkty, systemy lub usługi muszą spełniać. Wydane na ich podstawie certyfikaty, potwierdzające zgodność z odnośnymi wymogami, będą uznawane we wszystkich państwach członkowskich, co ułatwi przedsiębiorstwom transgraniczną wymianę handlową, a nabywcom pomoże zrozumieć aspekty bezpieczeństwa produktów i usług.

Stosowanie systemów certyfikacji będzie dla uczestników rynku dobrowolne. Wysokie standardy bezpieczeństwa cybernetycznego – potwierdzone za pośrednictwem takiego systemu certyfikacji – powinny umożliwić powstanie przewagi konkurencyjnej dla przedsiębiorstw, które będą starały się zagwarantować konsumentom, że ich produkty i usługi spełniają pewne standardy cyberbezpieczeństwa. Taki system będzie zatem zachęcał do uwzględniania cyberbezpieczeństwa już na etapie projektowania (ang. cybersecurity by design).

Kto i w jaki sposób skorzysta z ram certyfikacji?

Umiejętność rozumienia, czy dany produkt, system bądź usługa spełniają określone wymogi ma zasadnicze znaczenie dla poczucia zaufania do systemów lub urządzeń cyfrowych, z których korzystamy. Z ram tych zatem korzyści czerpać będą:

  • Obywatele i użytkownicy końcowi (np. operatorów usług kluczowych), którzy będą mogli dokonywać bardziej świadomych decyzji dotyczących zakupu używanych na co dzień produktów i usług ICT.
  • Sprzedawcy i dostawcy produktów i usług ICT (w tym MŚP i nowych przedsiębiorstw). Aby uzyskać europejski certyfikat ważny we wszystkich państwach członkowskich, będą oni musieli przejść tylko jedną procedurę. Dla MŚP i nowych przedsiębiorstw będzie to również oznaczało wyeliminowanie potencjalnych barier utrudniających wejście na rynek. Dzięki uniknięciu konieczności przechodzenia kilku procesów certyfikacji, których koszty różnią się znacznie w zależności od produktu lub usługi, oczekiwanego poziomu uzasadnionego zaufania i innych elementów, przedsiębiorstwa zaoszczędzą dużo pieniędzy. Na przykład w przypadku certyfikatu BSI „Smart Meter Gateway” (centralnej jednostki systemu inteligentnych liczników) koszty te wynoszą ponad 1 mln euro (najwyższy poziom uzasadnionego zaufania, dotyczy nie tylko produktu, lecz także całej powiązanej z nim infrastruktury), podczas gdy koszt certyfikacji inteligentnego licznika w Wielkiej Brytanii i we Francji wynosi ok. 150 tys. euro. Jako że oczekuje się wzrostu popytu na bezpieczniejsze rozwiązania na całym świecie, sprzedawcy i usługodawcy, którzy będą w stanie odpowiedzieć na tę potrzebę, uzyskają jednocześnie przewagę konkurencyjną.
  • Rządy także będą mogły dokonywać bardziej świadomych decyzji o zakupie, a jednocześnie będą dysponować ramami instytucjonalnymi, które pozwolą im określać, jakie dziedziny priorytetowo wymagają certyfikacji bezpieczeństwa ICT.

W jaki sposób europejskie ramy wpiszą się w istniejące lub międzynarodowe inicjatywy?

Systemy proponowane w przyszłych europejskich ramach będą w jak największym stopniu opierać się na normach międzynarodowych, tak by zapobiegać powstawaniu barier w handlu i zapewniać spójność z inicjatywami międzynarodowymi. Będziemy dalej współpracować z naszymi najbliższymi partnerami handlowymi na rzecz opracowania ogólnoświatowych standardów w tej dziedzinie.

2. Zwiększenie potencjału w zakresie bezpieczeństwa cybernetycznego w UE

Co jest celem zalecenia dotyczącego skoordynowanej odpowiedzi UE na ataki cybernetyczne (plan działania)?

W zaleceniu określono sposób, w jaki istniejące i ustanowione zasady i mechanizmy zarządzania kryzysowego w pełni wykorzystują jednostki odpowiedzialne za bezpieczeństwo cybernetyczne na szczeblu UE i mechanizmy współpracy między państwami członkowskimi oraz grupują wszystkie istniejące procedury i podmioty w jeden proces i precyzując ich zadania, na poziomie technicznym, operacyjnym i strategicznym, w przypadku poważnego incydentu cybernetycznego. Celem zalecenia jest posiadanie przez UE planu na wypadek wystąpienia transgranicznego cyberataku lub kryzysu na dużą skalę. Określono w nim cele i tryby współpracy między państwami członkowskimi i instytucjami UE w zakresie reagowania na takie incydenty oraz wyjaśniono, w jaki sposób istniejące mechanizmy zarządzania kryzysowego mogą współgrać z istniejącymi podmiotami w dziedzinie bezpieczeństwa cybernetycznego na szczeblu UE.

Ponadto w zaleceniu wzywa się państwa członkowskie i instytucje UE do ustanowienia ram reagowania w sytuacji kryzysu cybernetycznego, tak by plan działania stał się operacyjny. Plan ten będzie poddawany regularnym testom w ramach ćwiczeń w zakresie zarządzania w sytuacji kryzysu cybernetycznego lub innej sytuacji kryzysowej.

Które podmioty zostaną włączone w proces zarządzania kryzysowego? W jaki sposób będą koordynowane ich działania?

Zarządzaniem kryzysowym będą zajmować się podmioty na szczeblu państw członkowskich i na szczeblu europejskim. W państwach członkowskich będą to: właściwe organy krajowe i pojedyncze punkty kontaktowe utworzone na mocy dyrektywy w sprawie bezpieczeństwa sieci i informacji, zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) i agencje ds. bezpieczeństwa cybernetycznego. Na szczeblu Europy podmioty te obejmą: ENISA i dział EC3 Europolu (Europejskie Centrum ds. Walki z Cyberprzestępczością), Komisję Europejską, Europejską Służbę Działań Zewnętrznych, a w szczególności jej jednostki odpowiedzialne za zarządzanie kryzysowe, a także Radę. Organy te podejmą współpracę na poziomie technicznym, operacyjnym i strategicznym.

W jaki sposób plan działania umożliwi reagowanie na ataki cybernetyczne takie jak WannaCry bądź (non)Petya?

Ataki cybernetyczne na dużą skalę dotykają wielu krajów zarówno w UE, jak i poza nią, tak jak to miało miejsce w przypadku ataków WannaCry i (non)Petya. Celem planu działania jest stworzenie dobrze przećwiczonych procedur reagowania na incydenty cybernetyczne lub sytuacje kryzysowe wymagające współpracy na poziomie europejskim i międzynarodowym. Zapewni on szybką komunikację między poszczególnymi podmiotami i skoordynowaną reakcję na ataki cybernetyczne na dużą skalę. Plan wprowadzi również mechanizmy pozwalające na określenie przyczyny takich ataków w celu skutecznego złagodzenia ich skutków i zarządzania przyczynami. Państwa członkowskie, przy pomocy zintegrowanych uzgodnień UE dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych (IPCR), będą decydować o tym, w którym momencie aktywować plan działania.

W jakim celu i kiedy powstanie sieć oraz Europejskie Centrum Badań Naukowych i Kompetencji w dziedzinie Bezpieczeństwa Cybernetycznego?

Aby osiągnąć niezależność technologiczną w zakresie bezpieczeństwa cybernetycznego i chronić swoją gospodarkę cyfrową, społeczeństwo i demokrację, UE potrzebuje inwestycji na dużą skalę w technologie, produkty, procesy i wiedzę fachową w zakresie cyberbezpieczeństwa. Zdolności te są również niezbędne, aby wnieść wkład w globalne wysiłki na rzecz stworzenia bezpiecznej cyberprzestrzeni dla wszystkich. Bazując na pracach państw członkowskich i zainicjowanego w 2016 r. partnerstwa publiczno-prywatnego, Komisja proponuje uczynić kolejny krok w celu zwiększenia potencjału w dziedzinie bezpieczeństwa cybernetycznego w UE. Obejmuje to utworzenie sieci kompetencji w dziedzinie bezpieczeństwa cybernetycznego, której centralnym elementem będzie Europejskie Centrum Badań Naukowych i Kompetencji w dziedzinie Bezpieczeństwa Cybernetycznego.

Europejskie Centrum Badań Naukowych i Kompetencji w dziedzinie Bezpieczeństwa Cybernetycznego pomoże w rozwijaniu i wdrażaniu narzędzi i technologii koniecznych, by reagować na stale zmieniające się zagrożenia, i zagwarantuje, że nasza obrona będzie tak nowoczesna, jak broń, którą posługują się cyberprzestępcy. Centrum będzie uzupełniać działania na rzecz budowy potencjału w tej dziedzinie na poziomie unijnym i krajowym.

Komisja zainicjuje ocenę skutków w celu przeanalizowania możliwych wariantów, w tym możliwości powołania wspólnego przedsięwzięcia, z zamiarem jak najszybszego określenia jego struktury. Komisja proponuje także uruchomić fazę pilotażową inicjatywy w ramach programu „Horyzont 2020”, aby zwiększyć nową dynamikę inwestycji w bezpieczeństwo cybernetyczne. W perspektywie krótkoterminowej Komisja planuje udostępnić na ten cel 50 mln EUR.

3. Stworzenie skutecznych instrumentów prawa karnego

Zapewnienie skutecznego efektu odstraszającego oznacza ustanowienie ram środków, które będą zarówno wiarygodne, jak i odstraszające dla potencjalnych cyberprzestępców i sprawców cyberataków. Jeśli sprawcy ataków cybernetycznych – zarówno podmioty państwowe i niepaństwowe – obawiają się tylko niepowodzenia, nie będą mieć powodu, by zaniechać prób. Bardziej skuteczne prawo karne i reagowanie organów ścigania koncentrujące się na śledzeniu, wykrywaniu i ściganiu cyberprzestępców mają zasadnicze znaczenie dla uzyskania skutecznego efektu odstraszającego.

Jednym z kroków w kierunku poprawy prawa karnego w odpowiedzi na ataki cybernetyczne było przyjęcie w 2013 r. dyrektywy dotyczącej ataków na systemy informatyczne, w której określono normy minimalne dotyczące definicji przestępstw i sankcji w dziedzinie ataków na systemy informatyczne oraz ustanowiono środki operacyjne w celu poprawy współpracy między organami.

Jak stwierdzono w przedstawionym dziś sprawozdaniu z oceny środków podjętych w celu transpozycji dyrektywy, jej potencjał nie został jeszcze w pełni wykorzystany, choć mógłby, gdyby państwa członkowskie w pełni wdrożyły wszystkie jej przepisy. Ze sprawozdania z oceny wynika, że dyrektywa doprowadziła do znaczących postępów dzięki porównywalnemu poziomowi karalności za ataki cybernetyczne we wszystkich państwach członkowskich. Konieczne są jednak dalsze wysiłki, zwłaszcza jeśli chodzi o stosowanie definicji i wspólnych norm dotyczących sankcji za cyberataki. Komisja dokłada wszelkich starań, by zagwarantować pełne i prawidłowe wdrożenie dyrektywy, i będzie w dalszym ciągu udzielać państwom członkowskim niezbędnego wsparcia. Komisja nie widzi obecnie potrzeby proponowania zmian w dyrektywie.

Pragnąc zwiększyć efekt odstraszający, Komisja występuje z wnioskiem dotyczącym nowej dyrektywy w sprawie zwalczania fałszowania i oszustw związanych z bezgotówkowymi środkami płatniczymi, aby zwiększyć skuteczność arsenału prawa karnego w odniesieniu do cyberprzestępczości.

Co to jest „oszustwo związane z płatnościami bezgotówkowymi”?

Najpowszechniejszymi bezgotówkowymi instrumentami płatniczymi są: karty płatnicze (kredytowe i debetowe), polecenia przelewu, polecenia zapłaty, pieniądz elektroniczny, waluty wirtualne, m-pieniądz, vouchery, kupony i karty lojalnościowe. W ostatnich latach w Europie odnotowuje się stały wzrost bezgotówkowych transakcji płatniczych, zarówno pod względem ich liczby, jak i wartości.

Oszustwa związane z płatnościami bezgotówkowym mogą przybierać różne formy. Przestępcy mogą uruchomić wykonanie transakcji płatniczej, wykorzystując informacje o płatniku uzyskane w drodze, na przykład, wyłudzenia informacji, przechwycenia danych lub pozyskania informacji ze stron internetowych w ukrytej sieci poświęconych sprzedaży skradzionych danych uwierzytelniających kart kredytowych. Płatności mogą być również oszukańczo dokonywane za pomocą fałszywych lub skradzionych kart wykorzystywanych do zapłaty w sklepach lub do wypłaty gotówki w bankomatach bądź poprzez włamanie do systemów informatycznych służących do realizacji płatności, na przykład poprzez manipulowanie w punktach sprzedaży w odniesieniu do płatności kartą lub bezprawne zwiększenie limitów karty kredytowej, aby uniemożliwić wykrycie przekroczenia kosztów. Dane dotyczące oszustw z wykorzystaniem kart wskazują, że w 66 proc. przypadków oszustwo jest popełniane bez użycia karty, a z wykorzystaniem skradzionych danych uwierzytelniających.

Dlaczego oszustwa związane z płatnościami bezgotówkowymi stanowią zagrożenie dla bezpieczeństwa?

Fałszowanie i oszustwa związane z bezgotówkowymi środkami płatniczymi stanowią zagrożenie dla bezpieczeństwa, ponieważ są ważnym źródłem dochodów dla przestępczości zorganizowanej i umożliwiają finansowanie innych rodzajów działalności przestępczej, takich jak: terroryzm, nielegalny obrót środkami odurzającymi i handel ludźmi.

Europol donosi, że działający w UE rynek przestępczy dla oszustw związanych z kartami płatniczymi jest zdominowany przez zorganizowane grupy przestępcze posiadające rozwinięte struktury i prowadzące działalność w skali światowej. Nielegalne zyski tych grup mogą wynosić nawet co najmniej 1,44 mld EUR rocznie (poziom oszustw związanych z kartami oszacowany przez Europejski Bank Centralny). Kwota ta prawdopodobnie będzie się zwiększać, głównie za sprawą rosnącej cyfryzacji gospodarki i pojawiania się dzięki innowacjom technologicznym nowych instrumentów płatniczych.

Ponadto płatności bezgotówkowe mają zasadnicze znaczenie dla transakcji internetowych, a ich bezpieczeństwo ma kluczowe znaczenie dla utworzenia jednolitego rynku cyfrowego. Z kolei oszustwa związane z płatnościami bezgotówkowymi powodują również znaczne bezpośrednie straty ekonomiczne (na przykład linie lotnicze tracą około 1 mld USD rocznie na całym świecie z powodu oszustw z wykorzystaniem kart) i osłabiają zaufanie konsumentów, co może doprowadzić do strat gospodarczych i zmniejszenia dynamiki udziału w jednolitym rynku cyfrowym.

Dlaczego Komisja przedstawia wniosek dotyczący nowej dyrektywy w sprawie oszustw związanych z płatnościami bezgotówkowymi?

Nowości technologiczne, takie jak coraz częściej wykorzystywane usługi płatności przez telefon komórkowy lub waluty wirtualne, wniosły istotne zmiany w dziedzinie płatności bezgotówkowych i spowodowały wzrost oszustw internetowych. W celu zagwarantowania skutecznego ścigania przestępstw popełnianych z wykorzystaniem nowych instrumentów płatniczych należy zaktualizować unijne ramy prawa karnego, zwłaszcza po to, aby zapewnić zbliżenie wymiaru sankcji. W szczególności okoliczność, że oszustwa związane z płatnościami bezgotówkowymi często mają miejsce w internecie, stanowi wyzwanie dla tradycyjnego pojęcia terytorialności, jako że systemy informatyczne mogą być wykorzystywane i sterowane zdalnie z dowolnego miejsca. O stwierdzeniu właściwości powinny zatem rozstrzygać wszelkie skutki przestępstwa na terytorium danego państwa członkowskiego, niezależnie od narodowości sprawcy i jego fizycznej obecności na tym terytorium.

Chociaż obecna decyzja ramowa w sprawie zwalczania fałszowania i oszustw związanych z bezgotówkowymi środkami płatniczymi przyczyniła się do stworzenia wspólnych unijnych ram prawa karnego, obecny poziom harmonizacji nie jest wystarczający, aby odpowiednio wspierać prowadzenie dochodzeń i ściganie przestępstw na poziomie transgranicznym.

W jaki sposób nowa dyrektywa pomoże w walce z oszustwami związanymi z płatnościami bezgotówkowymi?

Komisja proponuje zwiększyć efekt odstraszający przy pomocy nowej dyrektywy w sprawie zwalczania fałszowania i oszustw związanych z bezgotówkowymi środkami płatniczymi. Zgodnie z unijną agendą bezpieczeństwa i strategią UE w zakresie bezpieczeństwa cybernetycznego, jak również strategią jednolitego rynku cyfrowego, nowa dyrektywa przyczyni się do zwiększenia zdolności państw członkowskich do ścigania i karania oszustw związanych z bezgotówkowymi środkami płatniczymi przez:

  • wzmocnienie zdolności organów ścigania do zwalczania tej formy przestępczości poprzez rozszerzenie zakresu przestępstw związanych z systemami informatycznymi i objęcie nim wszystkich transakcji płatniczych, także transakcji za pośrednictwem wirtualnych walut;
  • wprowadzenie wspólnych przepisów dotyczących wysokości kar, w szczególności poprzez ustanowienie dolnego progu najwyższych kar, jakie państwa członkowskie mogą nałożyć. Kary te mogą wynosić od dwóch do pięciu lat pozbawienia wolności, w zależności od rodzaju przestępstwa. Nowe przepisy stanowią, że za samodzielne przestępstwo uznaje się posiadanie, sprzedaż, pozyskiwanie z zamiarem wykorzystania, przywóz lub dystrybucję skradzionego albo uzyskanego w inny nielegalny sposób podrobionego albo sfałszowanego instrumentu płatniczego;
  •  sprecyzowanie zakresu jurysdykcji poprzez zapewnienie, aby państwo członkowskie miało jurysdykcję w przypadkach, gdy przestępstwo zostało popełnione za pomocą systemu informatycznego zlokalizowanego na terytorium tego państwa członkowskiego, chociaż sprawca może się znajdować w innym państwie, lub w przypadkach, w których sprawca znajduje się na terytorium danego państwa członkowskiego, ale system informatyczny może być zlokalizowany w innym państwie. Sprecyzowano również zakres jurysdykcji w odniesieniu do skutków przestępstwa, umożliwiając państwom sprawowanie jurysdykcji, gdy dane przestępstwo spowodowało szkodę na ich terytorium, w tym szkodę wynikającą z kradzieży tożsamości osoby;
  • zagwarantowanie, że ofiary cyberprzestępstw mają prawo dostępu do informacji na temat dostępnej pomocy i wsparcia. Ponadto nowe przepisy zapewnią poprawę warunków zgłaszania przestępstw i zwiększą zachęty do ich zgłaszania przez ofiary i podmioty prywatne;
  • wprowadzenie środków mających poprawić unijną współpracę wymiarów sprawiedliwości w sprawach karnych poprzez wzmocnienie obecnej struktury i wykorzystywanie operacyjnych punktów kontaktowych;
  • odpowiedzenie na potrzebę dostarczania danych statystycznych dotyczących fałszowania i oszustw związanych z bezgotówkowymi środkami płatniczymi.

W celu zwiększenia skuteczności prowadzenia dochodzeń i ścigania przestępczości wykorzystującej cyberprzestrzeń na początku 2018 r. Komisja przedstawi także wnioski w celu ułatwienia transgranicznego dostępu do elektronicznego materiału dowodowego. Równolegle Komisja wprowadza w życie praktyczne środki służące poprawie transgranicznego dostępu do elektronicznego materiału dowodowego na potrzeby dochodzeń w sprawach karnych, obejmujące finansowanie szkoleń w zakresie współpracy transgranicznej, rozwijanie elektronicznej platformy wymiany informacji w UE oraz standaryzację form współpracy sądowej między państwami członkowskimi. Komisja poszukuje ponadto różnych metod wzmocnienia potencjału w dziedzinie kryminalistyki we wszystkich państwach członkowskich. Jednym z kolejnych kroków mógłby być dalszy rozwój działającego w ramach Europolu Europejskiego Centrum ds. Walki z Cyberprzestępczością. Do października Komisja przedstawi swoje refleksje na temat roli szyfrowania w postępowaniach karnych. Wreszcie, aby lepiej wspierać państwa członkowskie i zwiększyć ich zdolności dochodzeniowe w zakresie walki z cyberprzestępczością, Komisja przeznaczy w ramach Funduszu Bezpieczeństwa Wewnętrznego kwotę w wysokości10,5 mln EUR.

4. Zacieśnianie międzynarodowej współpracy w dziedzinie bezpieczeństwa cybernetycznego

Międzynarodowa polityka UE w obszarze bezpieczeństwa cybernetycznego ma stanowić odpowiedź na stale zmieniające się wyzwania związane z propagowaniem stabilności cyberprzestrzeni na świecie, jak również przyczyniać się do strategicznej autonomii Europy i bezpieczeństwa w cyberprzestrzeni, kierując się zawsze podstawowymi europejskimi wartościami i prawami podstawowymi. Kwestią priorytetową dla UE będzie ustanowienie strategicznych ram na rzecz zapobiegania konfliktom i stabilizacji w cyberprzestrzeni w kontekście dwustronnych, regionalnych i wielostronnych inicjatyw. Jako część strategicznych ram zapobiegania konfliktom, UE propaguje stosowanie w cyberprzestrzeni prawa międzynarodowego, w szczególności Karty Narodów Zjednoczonych. UE nadal wspiera opracowywanie niewiążących, dobrowolnych norm zachowania się państw i środków budowy zaufania do cyberprzestrzeni.

Ze względu na międzynarodowy charakter zagrożenia kluczowe znaczenie dla zapobiegania atakom cybernetycznym i zniechęcania do takich ataków ma budowanie i utrzymywanie solidnych sojuszów i partnerstw z państwami trzecimi, które to sojusze nabierają kluczowego znaczenia dla stabilności i bezpieczeństwa w wymiarze międzynarodowym. UE prowadzi dialog poświęcony konkretnym kwestiom dotyczącym cyberprzestrzeni ze Stanami Zjednoczonymi, Japonią, Indiami, Koreą Południową i Chinami. Prowadzone są również ścisłe konsultacje z międzynarodowymi organizacjami, takimi jak: NATO, Forum Regionalne ASEAN, OBWE, Rada Europy i OECD.

Jaka może być dyplomatyczna reakcja UE na szkodliwe działania cybernetyczne?

W dniu 19 lipca 2017 r. Rada uzgodniła konkluzje Rady w sprawie ram wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania cybernetyczne („zestaw narzędzi dla dyplomacji cyfrowej”), które umożliwiają UE i jej państwom członkowskim zapobieganie szkodliwym działaniom cybernetycznym i reagowanie na nie. Korzystając ze środków w ramach wspólnej polityki zagranicznej i bezpieczeństwa, UE i jej państwa członkowskie starają się zachęcać do zacieśniania współpracy, sprzyjać ograniczaniu bezpośrednich i długofalowych zagrożeń i wpływać na zachowanie potencjalnych agresorów w dalszej perspektywie. Należy to postrzegać jako uzupełnienie, a nie zastąpienie poczynań UE w dziedzinie dyplomacji cyfrowej lub działań podejmowanych przez państwa członkowskie.

W jaki sposób UE przyczyni się do budowania zdolności cyfrowych?

Bezpieczeństwo cybernetyczne w wymiarze globalnym zależy od lokalnych i krajowych zdolności wszystkich państw do zapobiegania incydentom cybernetycznym i reagowania na nie oraz wykrywania i ścigania przypadków cyberprzestępczości. Wspieranie wysiłków na rzecz budowania odporności w państwach trzecich zwiększy poziom bezpieczeństwa cybernetycznego na świecie, co przyniesie pozytywne skutki dla UE.

Od 2013 r. UE przewodzi międzynarodowym działaniom służącym budowaniu zdolności w obszarze cyberbezpieczeństwa i łączy te starania ze współpracą na rzecz rozwoju. W celu zwiększenia możliwości UE do zmobilizowania wspólnej wiedzy specjalistycznej, by wspierać budowanie zdolności, należy ustanowić specjalną unijną sieć w zakresie budowania zdolności, z udziałem Komisji Europejskiej, Europejskiej Służby Działań Zewnętrznych, organów bezpieczeństwa cybernetycznego w państwach członkowskich, agencji UE, środowisk akademickich i społeczeństwa obywatelskiego. Opracowane zostaną wytyczne UE dotyczące budowania zdolności cyfrowych, które mają pomóc zapewnić lepsze polityczne kierownictwo i nadanie priorytetowego charakteru wysiłkom UE na rzecz wspierania państw trzecich.

UE będzie również współpracować z innymi darczyńcami w tym obszarze, by uniknąć dublowania działań i umożliwić bardziej ukierunkowane budowanie potencjału w poszczególnych regionach.

5. Współpraca w zakresie cyberobrony

Jako że zagrożenia cybernetyczne są jednym z głównych zagrożeń dla bezpieczeństwa w naszych czasach, niezbędny jest szybki wzrost zdolności w zakresie cyberobrony w UE, tak by zmniejszyć ryzyko i odpowiednio reagować na szkodliwe działania cybernetyczne. Nowe i istniejące już inicjatywy, takie jak Europejski Fundusz Obronny, będą miały zasadnicze znaczenie we wspieraniu dalszych wysiłków w zakresie cyberobrony, takich jak platforma na rzecz kształcenia i szkoleń w związku z cyberobroną.

Europejska Służba Działań Zewnętrznych (ESDZ) oraz Europejska Agencja Obrony (EDA) prowadzą współpracę z państwami członkowskimi w zakresie cyberobrony począwszy od 2013 r., kiedy to we współpracy z tym państwami utworzono zespół projektowy ds. cyberobrony. Nacisk zostanie ponownie położony na przyjęte przez UE w 2014 r. ramy polityki UE w zakresie cyberobrony, których celem jest zwiększenie zdolności państw członkowskich, uproszczenie ich doktryn, zwiększenie możliwości szkoleń i ćwiczeń, wspieranie badań w zakresie podwójnego zastosowania i ochrona misji i operacji podejmowanych w ramach wspólnej polityki bezpieczeństwa i obrony.

Państwa członkowskie zajmuja pozycję przewodnią w cyberobronie, ale UE może uzupełniać ich działania poprzez rozwój przemysłu obronnego, zachęcać do koordynacji na szczeblu strategicznym polityki państw członkowskich w zakresie cyberobrony i poszukiwać synergii między obszarami cywilnym i wojskowym, które może zapewnić UE. Obszarami priorytetowymi będą: badania i rozwój w zakresie podwójnego zastosowania, rozwój zdolności w zakresie doktryny cyberobrony oraz technologie i szkolenia.

Przy wsparciu Wysokiego Przedstawiciela, Komisji i Europejskiej Agencji Obrony, zainteresowane państwa członkowskie mogą połączyć zdolności, aby tworzyć projekty zdolności w dziedzinie bezpieczeństwa cybernetycznego w ramach stałej współpracy strukturalnej (PESCO).

Jak rozwija się współpraca między UE i NATO w dziedzinie bezpieczeństwa cybernetycznego?

Jak przewidziano we wspólnej deklaracji z dnia 8 lipca 2016 r. UE zacieśni współpracę z NATO w zakresie bezpieczeństwa cybernetycznego, zagrożeń hybrydowych i obrony, bazując na najnowszych postępach. Obaj partnerzy zintensyfikują również wymianę informacji między podlegającymi im organami cyberbezpieczeństwa, tj. zespołem reagowania na incydenty komputerowe w instytucjach UE (CERT-UE) i komórką NATO ds. reagowania na incydenty komputerowe (NCIRC). Innym kluczowym działaniem będzie ich wspólny udział w równoległych i skoordynowanych ćwiczeniach, a także zwiększenie interoperacyjności norm dotyczących bezpieczeństwa cybernetycznego. Po raz pierwszy w 2017 i 2018 r. NATO i UE przeprowadzą równoległe i skoordynowane ćwiczenia dotyczące reakcji na atak hybrydowy.

Więcej informacji

Komunikat prasowy – orędzie o stanie Unii w 2017 r. – cyberbezpieczeństwo: Komisja zwiększa zdolności reagowania na ataki cybernetyczne

Zestawienie informacji na temat wniosków dotyczących bezpieczeństwa cybernetycznego

Zestawienie informacji na temat ENISA

Zestawienie informacji na temat zwalczania fałszowania i oszustw związanych z bezgotówkowymi środkami płatności

Przyjęte dokumenty

MEMO/17/3194

Kontakty z mediami:

Zapytania od obywateli: Serwis Europe Direct – tel. [ 00 800 67 89 10 11 ] lub e-mail


Side Bar