(1)

Ochrona danych i zabezpieczanie komunikacji szczególnie chronionej mają zasadnicze znaczenie dla społeczeństwa, gospodarki, bezpieczeństwa i dobrobytu Unii. Cyberbezpieczeństwo ma strategiczne znaczenie dla budowania „Europy na miarę ery cyfrowej” (2) i jest kluczowym celem programu polityki „Droga ku cyfrowej dekadzie” (3).

(2)

Zarówno w strategii UE w zakresie unii bezpieczeństwa (4), jak i w strategii UE w zakresie cyberbezpieczeństwa na cyfrową dekadę (5) podkreślono, że szyfrowanie jest kluczową technologią służącą osiągnięciu odporności i suwerenności technologicznej oraz budowaniu zdolności operacyjnych w celu zapobiegania cyberatakom. W istocie szyfrowanie ma zasadnicze znaczenie dla świata cyfrowego celem zabezpieczenia systemów i transakcji cyfrowych, ochrony szeregu praw podstawowych, a także w celu zabezpieczenia zdolności obronnych. Wyścig, w którym różne kraje i podmioty prywatne konkurują w celu rozwijania zdolności w zakresie obliczeń kwantowych i stworzenia nowych, potencjalnie satysfakcjonujących możliwości, stanowi zagrożenie dla obecnych standardów kryptograficznych. Standardy te odgrywają decydującą rolę w zapewnianiu poufności i integralności danych, zabezpieczeniu komunikacji szczególnie chronionej oraz wspieraniu podstawowych elementów bezpieczeństwa sieci.

(3)

Potencjalny rozwój w przyszłości komputerów kwantowych zdolnych do złamania stosowanych obecnie szyfrów sprawia, że Europa musi poszukiwać silniejszych zabezpieczeń, zapewniających zabezpieczenie komunikacji szczególnie chronionej i długoterminową integralność informacji poufnych, w szczególności poprzez jak najszybsze przejście na kryptografię postkwantową. Ten nowy rodzaj kryptografii usunie znane słabe punkty obecnej kryptografii asymetrycznej i zwiększy odporność na zagrożenia wynikające ze złośliwego wykorzystania komputerów kwantowych.

(4)

Od ponad dziesięciu lat Komisja finansuje badania i rozwój kryptografii postkwantowej, uznając potencjalne zagrożenia, jakie obliczenia kwantowe stwarzają dla obecnej kryptografii asymetrycznej.

(5)

Państwa członkowskie powinny rozważyć jak najszybszą migrację swojej obecnej infrastruktury cyfrowej i usług cyfrowych dla administracji publicznej oraz innych infrastruktur krytycznych w kierunku kryptografii postkwantowej, co doprowadzi do zasadniczej zmiany w algorytmach, protokołach i systemach kryptograficznych. Jak podkreślono w niedawno wydanej białej księdze Komisji pt. „Jak sprostać potrzebom Europy w zakresie infrastruktury cyfrowej” (ang. „How to master Europe's digital infrastructure needs”), wymaga to skoordynowanych wysiłków z udziałem agencji rządowych, jednostek normalizacyjnych, zainteresowanych stron z branży, naukowców i specjalistów w dziedzinie cyberbezpieczeństwa.

(6)

W niniejszym zaleceniu Komisji zachęca się państwa członkowskie do opracowania kompleksowej strategii przyjęcia kryptografii postkwantowej w celu zapewnienia przejścia, które byłoby skoordynowane i zsynchronizowane między poszczególnymi państwami członkowskimi i ich sektorami publicznymi. W strategii tej należy określić jasne cele, kamienie milowe i harmonogramy prowadzące do określenia wspólnego planu wdrożenia kryptografii postkwantowej. Powinno to doprowadzić do wdrożenia w całej Unii technologii kryptografii postkwantowej w istniejących systemach administracji publicznej i infrastrukturach krytycznych za pośrednictwem systemów hybrydowych, które mogą łączyć kryptografię postkwantową z istniejącymi podejściami kryptograficznymi lub z kwantową dystrybucją klucza.

(7)

W celu skutecznego przejścia na kryptografię postkwantową skoordynowany plan wdrożenia kryptografii postkwantowej powinien zawierać wykaz działań, które mają zostać podjęte przez państwa członkowskie, w tym uwzględnienie algorytmów kryptografii postkwantowej, wraz z jasnym harmonogramem poszczególnych etapów i kamieni milowych, z uwzględnieniem ich współzależności, a także zainteresowanych stron, które należy włączyć w ten proces.

(8)

W celu zharmonizowanego wdrożenia kryptografii postkwantowej w całej Unii niezbędne jest opracowanie wspólnych norm europejskich oraz opracowanie ram celem określenia i wyboru algorytmów kryptografii postkwantowej, które mają być stosowane w sieciach i usługach cyfrowych w całej Unii. Dzięki aktywnemu uczestnictwu naukowców finansowanych przez UE Unia już teraz wspiera opracowywanie i testowanie algorytmów kryptografii postkwantowej, które mogłyby zostać przyjęte jako normy w ramach międzynarodowych procesów selekcji kryptografii postkwantowej. W niniejszym zaleceniu Komisji zachęca się państwa członkowskie do ścisłej współpracy na szczeblu UE z unijnymi ekspertami w dziedzinie cyberbezpieczeństwa, grupą współpracy ds. bezpieczeństwa sieci i informacji oraz Agencją Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) w zakresie oceny i wyboru odpowiednich algorytmów kryptografii postkwantowej oraz ich przyjmowania jako norm UE na potrzeby zharmonizowanego wdrażania w całej Unii.

(9)

Państwa członkowskie i Unia powinny nadal aktywnie współpracować ze swoimi międzynarodowymi partnerami strategicznymi przy opracowywaniu międzynarodowych norm w zakresie kryptografii postkwantowej w celu zapewnienia przyszłej interoperacyjności komunikacji.

(10)

Po jego uzgodnieniu przez państwa członkowskie skoordynowany plan wdrożenia kryptografii postkwantowej powinien służyć jako model dla określenia krajowych planów przejścia na kryptografię postkwantową lub, w przypadku gdy istnieją już plany krajowe, ich dostosowania do wspólnego skoordynowanego planu wdrożenia kryptografii postkwantowej.

(11)

Aby zapewnić postępy w realizacji celów niniejszego zalecenia, Komisja zamierza ściśle monitorować działania podejmowane w odpowiedzi na to zalecenie. Zachęca się zatem państwa członkowskie do przedkładania Komisji, na jej wniosek, wszystkich istotnych informacji, których dostarczenia można zasadnie oczekiwać, w celu zapewnienia takiego monitorowania. Na podstawie uzyskanych w ten sposób informacji i wszystkich innych dostępnych informacji Komisja oceni skutki niniejszego zalecenia i ustali, czy konieczne są dodatkowe kroki, w tym zaproponowanie wiążących aktów prawa Unii.

(12)

Niniejsze zalecenie w sprawie kryptografii postkwantowej opiera się na celach polityki określonych w strategii UE w zakresie cyberbezpieczeństwa na cyfrową dekadę w celu poprawy pełnego bezpieczeństwa i odporności unijnej infrastruktury cyfrowej i usług cyfrowych dla administracji publicznej oraz innych infrastruktur krytycznych; służy realizacji celów jednolitego rynku cyfrowego oraz wspólnego komunikatu w sprawie europejskiej strategii bezpieczeństwa gospodarczego 10919/23 (6); a także uwzględnia zagrożenia dla bezpieczeństwa fizycznego i cyberbezpieczeństwa infrastruktur krytycznych oraz zagrożenia zidentyfikowane w ramach niedawno przeprowadzonej oceny ryzyka dla technologii kwantowych (7). Niniejsze zalecenie nie narusza praw podstawowych i jest zgodne z zasadami uznanymi w szczególności w Karcie praw podstawowych Unii Europejskiej (art. 7, 8 i 11) oraz w europejskiej konwencji praw człowieka (art. 8 i 10), które nakładają na rządy obowiązki działania celem zminimalizowania ryzyka bezprawnego dostępu do informacji i ich kontroli, co wymaga ochrony i promowania technologii kryptograficznych,