AktualnościPublicystyka

Blueprint od kuchni, czyli jak wyglądają negocjacje w Brukseli.

Jakub Dysarz By Jakub Dysarz
12 Min Read

Cyberbezpieczeństwo kojarzy nam się przede wszystkim z higieną haseł, aktualizacjami Windowsa oraz nigeryjskim księciem bardzo zainteresowanym naszym kontem bankowym. Każdy z nas jest odpowiedzialny za własne cyberbezpieczeństwo, jednak nie jesteśmy w tym sami – istnieje niewidoczny dla nas system wsparcia, gdzie pracownicy zespołów bezpieczeństwa zarówno z sektora prywatnego, jak i publicznego codziennie mierzą się z masowo rozprowadzanym szkodliwym oprogramowaniem. Ci ludzie stoją na straży systemów teleinformatycznych zapewniających, że woda płynie w wodociągach, a prąd jest w gniazdku. W dzisiejszym, połączonym świecie kluczowa jest współpraca między sąsiadującymi państwami – także administracyjna.

Podczas polskiej prezydencji w Radzie UE w pierwszej połowie 2025 roku udało nam się przyjąć Unijny plan na rzecz cyberbezpieczeństwa (Cybersecurity Blueprint).

Czym jest Cybersecurity Blueprint?

Cybersecurity Blueprint to niewiążące, a ważne wytyczne Rady UE dla państw członkowskich dotyczące podwyższania gotowości oraz zwiększania zdolności wykrywania i reagowania na incydenty związane z cyberbezpieczeństwem. Plan posłuży stawieniu czoła coraz bardziej złożonemu krajobrazowi cyberzagrożeń. Jego celem jest wzmocnienie istniejących unijnych sieci, zacieśnienie współpracy między państwami członkowskimi a zaangażowanymi podmiotami i przyczynienie się do przezwyciężenia ewentualnych przeszkód1.

Incydent na dużą skalę to incydent, który powoduje zakłócenia przekraczające zdolność państwa członkowskiego do reagowania na niego lub ma znaczący wpływ na co najmniej dwa państwa członkowskie2. Taki incydent, w zależności od przyczyny i skutków, może eskalować i przerodzić się w pełnowymiarowy kryzys, wpływając na prawidłowe funkcjonowanie rynku wewnętrznego lub stwarzając poważne zagrożenie dla bezpieczeństwa publicznego i ochrony podmiotów lub obywateli w kilku państwach członkowskich lub w całej Unii.

Pierwsza iteracja Cybersecurity Blueprint’u sięga 2017 roku, kiedy został przyjęty w postaci zalecenia Komisji3. Od 2017 roku sytuacja bezpieczeństwa zmieniła się w istotny sposób i pierwotny Blueprint, mimo iż wciąż użyteczny, wymagał aktualizacji. Warto wskazać, że pierwszy Blueprint został przyjęty krótko po atakach NotPetya4 i WannaCry5. Jak dawno to było, niech wskaże że wówczas poważnym postrzeganym zagrożeniem byli tzw. cyberterroryści, a system reagowania dopiero powstawał w wielu państwach Unii. Osiem lat później, krajobraz zagrożeń wygląda zupełnie inaczej.

Ambicje polskiej prezydencji

Potrzeba aktualizacji Blueprintu była podnoszona podczas różnych formalnych i nieformalnych spotkań grup roboczych i ekspertów na poziomie europejskim w następnych latach. Jednak dopiero konkluzje Rady o przyszłości cyberbezpieczeństwa, przyjęte podczas prezydencji belgijskiej, wprost wezwały Komisję (zresztą na wniosek Polski) do przygotowania nowego Blueprintu6.

Rada zwróciła wówczas uwagę na obecne wyzwania i złożony krajobraz cyberzagrożeń. Wskazano potrzebę wzmocnienia istniejących instytucji i sieci współpracy między państwami członkowskimi, bez tworzenia nowych struktur. Wskazano, że zmieniony Plan działania powinien opierać się na sprawdzonych w czasie zasadach współpracy (proporcjonalności, pomocniczości, komplementarności i poufności informacji) i rozszerzyć je na cały cykl zarządzania kryzysowego. Rada zauważyła, że konieczne jest także zapewnienie zgodności Blueprintu z innymi instrumentami, takimi jak unijny mechanizm kryzysowego IPCR, zestawem narzędzi dyplomacji cyfrowej UE, procedurami sektorowymi oraz ogólnymi strukturami zarządzania kryzysowego w ramach podmiotów Unii.

W ramach przygotowania do prezydencji, Polska ogłosiła przyjęcie znowelizowanego Blueprintu jako jeden ze swoich priorytetów, wpisującego się w szerszy plan wspierania bezpieczeństwa europejskiego we wszystkich obszarach: zewnętrznym, wewnętrznym, informacyjnym, gospodarczym, energetycznym, żywnościowych oraz zdrowotnym7. Projekt Komisji został opublikowany 24 lutego8 i bez zbędnej zwłoki został poddany dyskusjom w Radzie w czasie polskiej prezydencji. Po serii intensywnych dyskusji w grupie roboczej, 21 maja dokument został przyjęty przez COREPER, a następnie 6 czerwca przez Radę (w formacie TTE, czyli ministrów odpowiedzialnych za m.in. telekomunikację i sprawy cyfrowe, w tym cyberbezpieczeństwo).
O ile powyższa sekwencja wydarzeń wygląda jakby przyjęcie dokumentu było bezproblemowe, to jednak w tle miały miejsce zdarzenia, które uczyniły przyjęcie dokumentu niezwykle interesującym z perspektywy techniki negocjacyjnej oraz praktyki urzędniczej. Na uwagę zasługują: tryb prac, sposób prowadzenia dyskusji nad dokumentem, alternatywne metody pracy oraz wykorzystanie pozycji Polski w Radzie.

Tryb pracy nad dokumentem

Znając datę oczekiwanego przyjęcia dokumentu (posiedzenie Rady Unii Europejskiej w dniu 6 czerwca 2025), terminy zostały ustalone wstecz w taki sposób, aby zdążyć z uzgodnieniami przed tą datą. Zgodnie z regulaminem Prac Rady, przed przyjęciem dokumentu przez Radę, jego treść musi zostać uzgodniona przez Komitet Stałych Przedstawicieli (COREPER), a wcześniej przez grupę roboczą. O ile w Radzie tego typu dokumenty mogą być przyjmowane w głosowaniu kwalifikowaną większością (QMV), to intencją jest zawsze przyjęcie dokumentu jednomyślnie. Konieczne jest zatem rozwiązanie wszystkich wątpliwości jeszcze na poziomie grupy roboczej.

Aby usprawnić dyskusję nad dokumentem, prezydencja polska zaproponowała prowadzenie dyskusji od ogółu do szczegółu, zamiast zwyczajowej analizy artykuł po artykule. Pozwoliło to na ustalenie potrzeb poszczególnych państw, zgrupowanie określonych tematów razem i omówienie ich z wybranymi ekspertami oraz wprowadzenie poważnych zmian w dokumencie w uporządkowany sposób.

Pewnym wyzwaniem było późne dostarczenie pierwszego dokumentu przez Komisję – mimo iż oczekiwano tekst na początku stycznia, został opublikowany pod koniec lutego, co skróciło czas na przygotowanie. Niektóre zagadnienia można było wstępnie omówić już wcześniej, na podstawie tekstu konkluzji Rady z 2024 roku, przed otrzymaniem tekstu z Komisji. Dzięki temu państwa mogły określić swoje oczekiwania wobec tekstu, w szczególności zakres przyszłego dokumentu i główne definicje. Następnie przyjęto proponowaną strukturę rozdziałów, która pozostała bez większych zmian do końca prac. Po otrzymaniu propozycji Komisji, Rada kontynuowała dyskusję, bazując na już ustalonej strukturze.

Dyskusje w grupie roboczej

Dyskusje nad tekstem w gronie attaché z dwudziestu siedmiu państw idzie w parze z wieloma wyzwaniami. Konieczne jest przedstawienie propozycji z wyprzedzeniem, aby delegaci mieli czas na ustalenia krajowe. Jest to dodatkowo trudne, kiedy temat jest tak złożony jak cyberbezpieczeństwo i wymaga współpracy ekspertów z różnych dziedzin. Zazwyczaj pomocne jest doproszenie ekspertów na posiedzenie, jednak często i tak idzie to w parze z konsultacjami krajowymi.

W efekcie, najczęściej praktykowanym rytmem pracy jest: 1) udostępnienie, z odpowiednim wyprzedzeniem, tekstu delegatom, najlepiej z dodatkowymi materiałami i pytaniami kierunkowymi; 2) przeprowadzenie dyskusji z możliwością zadawania pytań i dyskusji o tekście; 3) zaplanowanie czasu na kontakt ze stolicami i zebranie uwag; 4) zebranie uwag przez sekretariat Rady; 5) przygotowanie nowej wersji tekstu przez prezydencję, przy wsparciu Sekretariatu na postawie otrzymanych uwag i przeprowadzonych dyskusji.

Alternatywne metody pracy

Na uwagę zasługują metody pracy użyte podczas przygotowywania dokumentu. Dyskusje pomiędzy delegatami pozwalają poznać stanowiska poszczególnych państw członkowskich, a zaproszeni eksperci mogą wypowiedzieć się bardziej szczegółowo na temat poszczególnych zagadnień. Nawet w trakcie aktywnych dyskusji mogą pojawić się dylematy, których nie da się rozstrzygnąć poprzez proste porównanie stanowisk. Podobnie, rozmowy na wysokim poziomie ogólności, bez jasno określonej struktury, rzadko przynoszą wymierne rezultaty. Dlatego praca w grupie roboczej nie jest jedyną metodą działania. Dopuszczalne i zasadne jest stosowanie uzupełniających metod pracy. W przypadku Blueprintu, szczególnie przydatne były warsztaty tematyczne oraz uproszczone ćwiczenie sztabowe.

Przykładowo, przygotowując się do Prezydencji polskiej, podczas prezydencji węgierskiej przygotowano dwa warsztaty w czasie których omówiono przyszłość Blueprintu (Karpacz, 5 września 2024) oraz współpracę z sektorem prywatnym (Bruksela, 7 listopada 2024). Struktura warsztatowa z uprzednio przygotowanymi pytaniami i w mniej formalnym środowisku pozwoliła na partnerską wymianę doświadczeń i spostrzeżeń. Była niezwykle przydatna do punktowego omówienia wyzwań, przed prezentacja docelowego dokumentu.

Ćwiczenia sztabowe (table-top exercise, TTX)9 przydają się szczególnie na płaszczyźnie operacyjnej – do testowania już przyjętych procedur i planów oraz gotowości jednostek do reagowania na zagrożenia. Jest jednak dla nich również miejsce w przygotowywaniu dokumentów, które będą w przyszłości miały znaczenie dla działań operacyjnych. W przypadku Blueprintu, ćwiczenie sztabowe odbyło się kiedy dokument był już zaawansowany. Poza delegatami obecni byli przedstawiciele Sieci CSIRT oraz EU-CyCLONe. Scenariusz przedstawiający atak na infrastrukturę krytyczną państw członkowskich został oparty o wcześniej opublikowane materiały10 i obejmował eskalację incydentu według struktury Blueprintu. Celem nie było wierne odtworzenie warunków incydentu i przetestowania istniejących struktur, a jedynie stworzenie podstawy do dyskusji oraz zidentyfikowanie i omówienie brakujących elementów w omawianym dokumencie.

Rola Polski jako prezydencji

Państwo sprawujące prezydencję w Radzie UE znajduje się w bardzo interesującej sytuacji z perspektywy urzędnika. Z jednej strony, dodatkowe uprawnienia i zasoby pozwalają na skierowanie polityki unijnej w pożądanym kierunku; z drugiej strony, aby być skuteczna, prezydencja wymaga od państwa sprawującego bycie bezstronnym mediatorem, reprezentującym interesy Unii, a nie krajowe. Tego samego zresztą oczekujemy jako Polska od innych państw sprawujących prezydencję.

Poza oficjalnym spotkaniem Rady w czerwcu, polska prezydencja miała możliwość organizacji także rady nieformalnej, która miała miejsce w marcu 2025 r. W trakcie spotkania ministrowie nie głosują nad aktami prawnymi i nie podejmują formalnych decyzji, ale mogą omówić interesujące ich kwestie. 5 marca 2025 roku, w Muzeum Wojska Polskiego w Warszawie, europejscy ministrowie ds. cyfryzacji spotkali się w formacie Rady nieformalnej TTE Telecom, gdzie omawiali kwestie cyberbezpieczeństwa i wyzwania, przed którymi stoją państwa członkowskie w dynamicznie zmieniającym się środowisku zagrożeń cyfrowych oraz toczącej się wojnie przy wschodniej flance NATO – zewnętrznej granicy UE. Była to pierwsza w historii nieformalna Rada wyłącznie poświęcona kwestiom cyberbezpieczeństwa.

Jeden z punktów dyskusji dotyczył Blueprintu (wówczas w najbardziej intensywnym punkcie negocjacji) i pozwolił na państwom członkowskim potwierdzić kierunek rewizji dokumentu. Możliwość dyskusji dokumentu na najwyższym szczeblu, dodatkowo poparte przez przyjęcie deklaracji warszawskiej11, nadało pracom nad Blueprintem zdecydowany priorytet.

Efekt końcowy

Dokument został przyjęty jednogłośnie przez Radę i obecnie jest wdrażany w 27 państwach członkowskich Unii zarówno na poziomie krajowym jak i przez specjalistyczne sieci współpracy. Mimo braku mocy wiążącej, wyraża idee, zasady i pomysły, które można wprowadzić w życie na poziomie praktycznym w każdym państwie Unii.

Jest to praca niezbyt dobrze widoczna – Blueprint jest dokumentem bardzo specjalistycznym. W praktyce, niewielu ekspertów z obszaru cyberbezpieczeństwa spotka się z jego treścią, o ile nie współpracują z obszarem zarządzania kryzysowego. Dodatkowo Blueprint nie dotyczy wymogów bezpieczeństwa dla firm czy produktów ani szacowania ryzyka na poziomie organizacji, stąd przypuszczalnie nie odbije się szerokim echem nawet w opracowaniach fachowych.

Natomiast Blueprint jest przykładem możliwości współpracy pomiędzy państwami Unii nawet w tak wrażliwych tematach jak styk cyberbezpieczeństwa oraz zarządzania kryzysowego. Dokument będzie stosowany w ćwiczeniach krajowych i międzynarodowych, a poszczególne zespoły reagowania na incydenty komputerowe będą wdrażać jego zasady w swoich standardowych procedurach operacyjnych, aby lepiej współpracować z kolegami z zagranicy. Praca ta, mimo że nie należy do najbardziej eksponowanych, jest zdecydowanie potrzebna.

  1. 1. UE przyjmuje plan lepszego zarządzania cyberkryzysami i cyberincydentami w Europie, komunikat prasowy, 6 czerwca 2025, dostępny na https://www.consilium.europa.eu/pl/press/press-releases/2025/06/06/eu-adopts-blueprint-to-better-manage-european-cyber-crises-and-incidents/ ↩︎
  2. 2. Dyrektywa (UE) 2022/2555 (dyrektywa NIS 2) ↩︎
  3. 3. Zalecenie Komisji (UE) 2017/1584 w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę ↩︎
  4. 4. Więcej o NotPetya: Kolejny groźny globalny atak: ransomware Petya (NotPetya). Ofiary także w Polsce. Dotyczy również zaktualizowanych Windowsów!, Niebezpiecznik, dostępny na https://niebezpiecznik.pl/post/kolejny-grozny-globalny-atak-tym-razem-ransomware-petya-ofiary-sa-takze-w-polsce/ ↩︎
  5. 5. Więcej o WannaCry: A. Heartle, Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy, Zaufana Trzecia Strona, dostępny na https://zaufanatrzeciastrona.pl/post/masowa-niezwykle-skuteczna-kampania-ransomware-wylacza-cale-firmy/ ↩︎
  6. 6. Council Conclusions of 22 May 2024 on the Future of Cybersecurity: implement and protect together, 10133/24 ↩︎
  7. 7. Cały program polskiej prezydencji jest dostępny na stronie Rady: https://polish-presidency.consilium.europa.eu/media/gt3pbw5w/program-polskiej-prezydencji-w-radzie-unii-europejskiej.pdf ↩︎
  8. 8. Komisja przedstawia nowy plan działania w zakresie cyberbezpieczeństwa w celu poprawy koordynacji działań UE w sytuacjach kryzysowych w cyberprzestrzeni, notatka prasowa, 24 lutego 2025, dostępna na https://digital-strategy.ec.europa.eu/pl/news/commission-launches-new-cybersecurity-blueprint-enhance-eu-cyber-crisis-coordination, dostęp z dnia 14.01.2026 ↩︎
  9. 9. W polityce publicznej wariant tego zjawiska określa się czasem grą symulacyjną. ↩︎
  10. 10. W szczególności o Sprawozdanie z oceny ryzyka w zakresie cyberodporności w sektorach telekomunikacji i energii elektrycznej w UE, raport, 24 lipiec 2024, dostępny na https://digital-strategy.ec.europa.eu/pl/news/risk-assessment-report-cyber-resilience-eus-telecommunications-and-electricity-sectors ↩︎
  11. 11. Więcej o deklaracji warszawskiej: https://polish-presidency.consilium.europa.eu/en/news/warsaw-call-declaration-adopted-at-the-informal-tte-telecom-council-on-cybersecurity/ ↩︎

TAGGED:
Previous Article Po co nam pralka, gdy nadal wolimy prać ręcznie?
Sprawne Państwo
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.