19.9.2013   

BG

Официален вестник на Европейския съюз

C 271/133

1.1

Комитетът взема под внимание предложената директива, която следва да се разглежда в по-обширния контекст на неотдавна публикуваната Стратегия относно киберсигурността (1), в която е изложена всеобхватна визия за мрежовата и информационната сигурност (МИС), целяща да осигури среда, в която цифровата икономика може да се развива безпроблемно, като същевременно допринася за утвърждаването на европейските ценности на свобода и демокрация.

1.2

ЕИСК приветства настоящото предложение за директива, предназначена да осигури високо общо равнище на МИС в ЕС. Хармонизирането и управлението на МИС на европейско равнище е важно условие за доизграждането на цифровия единен пазар и за безпроблемното функциониране на вътрешния пазар като цяло. Комитетът споделя безпокойството на Комисията относно огромните щети, които могат да бъдат нанесени на икономиката и благосъстоянието на гражданите от евентуален срив на МИС. При все това предложената директива не дава отговор на очакванията на Комитета за решителни законодателни действия по тази критично важна тема.

1.3

Комитетът е изключително разочарован от липсата на напредък от страна на много държави членки по отношение на осигуряването на ефективна МИС на национално равнище. ЕИСК изразява съжаление по повод на повишените рискове, които този неуспех създава за гражданите, както и на отрицателното въздействие, което той оказва върху доизграждането на единния цифров пазар. Всички държави членки трябва незабавно да предприемат действия във връзка с неизпълнените си задължения по отношение на МИС.

1.4

Тази липса на напредък създава друга цифрова пропаст между елитната група държави членки с много напреднала МИС и онези, които са по-слабо развити в това отношение. Тази пропаст пречи на доверието и сътрудничество в областта на МИС на равнището на ЕС и, ако не ѝ бъде обърнато спешно внимание, има вероятност да предизвика неуспехи на вътрешния пазар, свързани с различията в способностите на отделните държави членки.

1.5

Както е посочено в негови предишни становища (2), ЕИСК смята, че мерките с ориентировъчен и доброволен характер не вършат работа и че на държавите членки трябва да се наложат силни регулаторни задължения, за да се осигури хармонизирането, управлението и осъществяването на мрежовата и информационната сигурност в Европа. За съжаление ЕИСК не смята, че настоящото предложение за директива предоставя необходимото ясно и решително законодателство. За да се осигури необходимото високо общо равнище на МИС, Комитетът счита, че регламент, с ясно определени обвързващи държавите членки задължения, би бил по-ефективен, отколкото директива.

1.6

Независимо от намерението на Европейската комисия да приеме делегирани актове с цел да осигури определени еднакви условия за изпълнение на части от директивата, Комитетът съзира недостиг на стандарти, на ясни определения и на категорични задължения в предложения акт, което дава твърде много гъвкавост на държавите членки по отношение на тълкуването и транспонирането на критично важните му елементи. Комитетът би искал в акта да бъдат включени много по-ясни определения на стандартите, изискванията и процедурите, касаещи държавите членки, публичните органи, пазарните оператори и лицата, които изпълняват ключова роля за предоставянето на интернет услуги.

1.7

За да бъде осигурено убедително формулиране и изпълнение на политиката за МИС в ЕС, Комитетът би желал на равнището на ЕС да бъде създаден орган за МИС, който да е аналогичен на централния орган за въздухоплавателната индустрия (EASA) (3). Този орган ще установи стандарти и ще следи за изпълнението на всички елементи на МИС на територията на ЕС: от сертифицирането на сигурни крайни устройства и режими на ползване, до въпроси, свързани със сигурността на мрежата и на данните.

1.8

ЕИСК е много наясно с повишения риск за киберсигурността и защитата на данните, създаден от възприемането на принципа на работа в интернет пространството, известен като „изчисления в облак“ (4) в Европа. Комитетът би желал предложеният акт изрично да включва специални допълнителни изисквания за сигурност и задължения по отношение на предоставянето и използването на услуги в облак.

1.9

За да има подходящо равнище на отговорност по отношение на МИС, в акта трябва ясно да се посочва, че лицата, които имат задължения съгласно предложената директива, ще имат правото да държат доставчици на софтуер и хардуер отговорни за дефекти в техните продукти или услуги, които допринасят директно за възникването на инциденти, свързани с МИС.

1.10

ЕИСК призовава държавите членки да отделят специално внимание на повишаването на знанията и уменията на малките и средните предприятия (МСП) по отношение на МИС и киберсигурността. Комитетът също така насочва вниманието на Комисията към успеха на „хакерските състезания“ в САЩ (5) и в някои държави членки (6), за повишаване на запознатостта с аспектите на киберсигурността и култивирането на следващото поколение професионалисти в сферата на МИС.

1.11

Като се има предвид колко е важно всички държави членки да спазват изискванията за МИС в целия ЕС, ЕИСК призовава Комисията да обмисли какви средства от многогодишната финансова рамка (МФР) биха могли да бъдат насочени за подпомагане на онези държави членки, които се нуждаят от финансова помощ във връзка със спазването на изискванията за МИС.

1.12

Разходите за научни изследвания, развойна дейност и иновации (НИРДИ) за технологии, свързани с МИС, следва да бъдат основен приоритет в Рамковата програма на ЕС за научни изследвания и иновации „Хоризонт 2020“, така че Европа да върви в крак с бързо променящия се пейзаж на киберзаплахите.

1.13

За да се осигури яснота относно това кои предприятия имат правни задължения съгласно предложения акт, ЕИСК би желал всяка държава членка да бъде задължена да публикува онлайн директория на всички лица, за които се отнасят изискванията на директивата по отношение на управлението на риска и докладването. Тази прозрачност и обществена отчетност ще изградят доверие и ще осигурят подкрепа за спазването на законовите изисквания.

1.14

Комитетът насочва вниманието на Комисията към своите многобройни предходни становища, в които е обсъждана темата за мрежовата и информационната сигурност и е изтъквана необходимостта от сигурност на информационното общество и защита на критичните инфраструктури (7).

2.1

Предложената директива за МИС е публикувана заедно със Стратегията на ЕС за киберсигурността, която има за цел повишаването на устойчивостта на информационните системи, намаляването на киберпрестъпленията, подобряването на международната политика на ЕС в областта на киберсигурността и киберотбраната, и развитието на индустриални и технологични ресурси за киберсигурността, като същевременно се насърчават основните права и другите изконни ценности на ЕС.

2.2

МИС се отнася до защитата на интернет и други мрежи, информационни системи и базови услуги, които подпомагат функционирането на нашето общество. МИС е от съществено значение за гладкото функциониране на вътрешния пазар.

2.3

Чисто доброволния подход към МИС, който ЕС прилагаше до този момент, не осигурява достатъчна защита срещу свързани с нея рискове. Съществуващият капацитет за МИС определено не е достатъчен, за да бъдем в крак с бързо променящия се характер на заплахите и да гарантираме общо високо равнище на защита във всички държави членки.

2.4

Днес държавите членки са с много различни равнища на капацитет и подготвеност, което ще доведе до фрагментираност на подходите към МИС на територията на ЕС. Предвид факта, че мрежите и системите са взаимосвързани, държавите членки с недостатъчно равнище на защита ще отслабят общата МИС на Съюза. Това положение пречи и за това между партньорите да възникне доверието, явяващо се предварително условие за сътрудничество и обмен на информация. Поради това съществува сътрудничество само между държави членки с високо равнище на капацитет, а те са малцинство.

2.5

Целта на директивата, предложена в съответствие с член 114 от ДФЕС, е да се улесни доизграждането и безпрепятственото функциониране на единния цифров пазар:

2.6

Предложената директива въвежда правни изисквания, включително:

2.7

Държавите членки ще трябва да започнат да прилагат директивата в рамките на 18 месеца след приемането ѝ от Съвета и Европейския парламент (което се очаква да стане през 2014 г.).

3.1

Разрастването на интернет и на цифровото общество оказва дълбоко въздействие върху ежедневието ни. Въпреки това колкото по-зависими ставаме от интернет, толкова по-зависими стават нашата свобода, благоденствие и качество на живот от наличието на надеждна мрежова и информационна сигурност: ако при спешен случай не може да се получи достъп до електронно съхранявани медицински данни, защото няма връзка с интернет, пострадалият може да загуби живота си. Въпреки това сигурността на критичната информационна инфраструктура на Европа е под нарастваща заплаха и нашата МИС не е на достатъчно добро равнище.

3.2

Директорът на Европол заяви миналата година, че е „…много разтревожен от прекомерното доверяване в несломимия характер на интернет“ (8). Често чуваме за нови кибератаки срещу основна инфраструктура, извършвани от престъпници, терористи или чужди правителства. Макар че жертвите премълчават по-голямата част от извършените срещу тях атаки от страх да не пострада репутацията им, през последните седмици станахме свидетели на атаки срещу интернет инфраструктурата (9) и банковите системи (10) на Европа, които бяха твърде драстични, за да бъдат потулени. Според един доклад (11) Нидерландия е била обект на 92 млн. кибератаки през 2011 г., а Германия – на 82 млн. Правителството на Обединеното кралство е установило, че през 2011 г. страната е претърпяла 44 млн. атаки с цел извършването на киберпрестъпления, което е причинило на икономиката ѝ загуби от близо 30 млрд. евро (12).

3.3

През 2007 г. Съветът на ЕС обърна внимание на проблема, свързан с МИС на Европа (13). При политическия подход обаче, следван оттогава насам (14), се разчита най-вече на доброволни действия от страна на държавите членки и само малка част от тях са предприели ефективни действия. Комитетът отбелязва, че много държави членки все още не са публикували своя национална стратегия за киберсигурността, нито са разработили национален план за действие при непредвидени киберинциденти. Някои от тях все още не са сформирали свой екип за незабавно реагиране при компютърни инциденти (CERT). Освен това редица държави членки все още не са ратифицирали Конвенцията на Съвета на Европа за киберпрестъпността (15).

3.4

Десет държави членки, които са силно напреднали по отношение на МИС, създадоха Групата на европейските правителствени CERT (известна като „EGC“), чиито членове си поставиха за задача да работят в тясно сътрудничество по въпросите на МИС и реагирането на инциденти. Понастоящем не се приемат нови членове в EGC: засега останалите по-слабо развити 17 държави членки и новосформираната CERT-ЕС (16) са изключени от тази елитна група. Между държавите членки, които са силно напреднали в областта на МИС, и останалите се разкрива нова цифрова пропаст. Ако тази пропаст по отношение на МИС не бъде преодоляна, ще бъдат отслабени основите на единния цифров пазар, което ще ограничи изграждането на доверие, хармонизирането и оперативната съвместимост. Освен това без решителни действия, пропастта между силно напредналите и по-малко напредналите държави членки вероятно ще се увеличи, а оттук ще се увеличат и неуспехите на вътрешния пазар, свързани с различията между държавите членки по отношение на техния капацитет.

3.5

Успехът на Стратегията за киберсигурността и ефективността на предложената директива за МИС ще зависят от наличието на силна индустрия за МИС в Европа и достатъчно работници със специализирани умения в сферата на МИС. ЕИСК изразява задоволство, че в предложената директива е посочена необходимостта държавите членки да инвестират в образование, информираност и обучение по МИС. Комитетът би искал всяка държава членка да положи специални усилия, за да информира, образова и подпомага сектора на МСП по отношение на киберсигурността. Големите предприятия могат лесно да придобият знанията, от които се нуждаят, но МСП имат нужда от подкрепа.

3.6

ЕИСК ще се радва да си сътрудничи с Европейската агенция за мрежова и информационна сигурност (ENISA) с цел да се даде гласност на темата за МИС по време на „месеца на киберсигурността“ по-късно тази година. Във връзка с целта, поставена в Стратегията за киберсигурността и директивата за МИС, за развиване на осъзнато отношение към сигурността в Съюза, както и за повишаване на равнището на уменията в сферата на МИС, Комитетът насочва вниманието на Комисията към т. нар. „хакерски състезания“ за юноши, които имат доказан успех за повишаването на запознатостта с тази проблематика в някои държави членки и в САЩ.

3.7

Комитетът също така със задоволство отбелязва ангажимента в Стратегията за киберсигурността по отношение на средствата за НИРДИ, които трябва да бъдат заделени за технология за МИС.

3.8

Увеличеното използване на изчисленията в облак създава много нови рискове за киберсигурността, които трябва да се вземат предвид. Така например днес киберпрестъпниците могат да се снабдят с голяма изчислителна мощност срещу сравнително малко пари. Освен това данните на хиляди дружества се намират в централизирани хранилища за данни, които са уязвими към целенасочени атаки. ЕИСК призова за по-голяма киберустойчивост на изчисленията в облак (17).

3.9

В предходен момент ЕИСК отправи призив за въвеждането в ЕС на доброволна схема за електронна самоличност за онлайн транзакции, която да допълва съществуващите национални схеми за самоличност. Подобна схема ще осигури по-висока степен на защита срещу измами, по-благоприятен климат на доверие между икономическите оператори, по-ниски разходи за предоставяне на услуги и по-високо качество на обслужване и защита на гражданите.

4.1

За съжаление настоящото предложение на Комисията е твърде некатегорично, няма достатъчно яснота и разчита твърде много на саморегулиране от страна на държавите членки. Недостигът на стандарти, ясни определения и категорични задължения, по-специално в глава IV от директивата, дава на държавите членки твърде много гъвкавост в тълкуването и транспонирането на критично важни елементи на акта. Регламент с ясно определени обвързващи правни задължения на държавите членки би бил по-ефективен от директива.

4.2

Комитетът отбелязва, че член 6 от директивата изисква всяка държава членка да определи „компетентен орган“ за наблюдение и гарантиране на последователното прилагане на директивата в целия ЕС. Освен това се отбелязва, че с член 8 се създава „мрежа за сътрудничество“, която, чрез делегираните на нея и на Комисията правомощия, ще осигурява общоевропейско лидерство, стопанисване и, ако е необходимо, мерки за осигуряване на изпълнението на законовите изисквания на равнището на държавите членки. ЕИСК счита, че надграждайки тази рамка за управление, ЕС следва да обмисли създаването на орган за МИС на равнището на ЕС, аналогичен на Европейската агенция за безопасност на въздухоплаването (EASA), която установява стандарти и управлява изпълнението и спазването на изискванията за сигурност за въздухоплавателните средства, летищата и оперативната дейност на авиокомпаниите.

4.3

Органът за МИС на равнището на ЕС, предложен от Комитета в точка 4.2 по-горе, може да бъде създаден върху основите на работата по киберсигурността, вече свършена от ENISA, от Европейския комитет за стандартизация (CEN), от екипите за незабавно реагиране при компютърни инциденти, от Групата на европейските правителствени екипи за незабавно реагиране при компютърни инциденти (EGC) и др. Този орган ще установи стандарти и ще следи изпълнението на всички елементи на МИС: от сертифицирането на сигурни крайни устройства и режими на ползване, до въпросите, свързани със сигурността на мрежата и на данните.

4.4

Предвид силната взаимозависимост между държавите членки при осигуряването на МИС на територията на Съюза и потенциално много високата цена на инциденти с МИС за всички засегнати страни, ЕИСК би искал в законодателството да бъдат включени изрични и пропорционални санкции за неспазване, хармонизирани така, че да отразяват общоевропейското измерение на отговорността и размера на щетите, които могат да бъдат причинени, не само на вътрешния пазар, но и в целия Съюз. Член 17 от акта, в който се разглеждат санкциите, е общ, позволява твърде много свобода на държавите членки да определят санкции и не предоставя достатъчно насоки за отчитане на трансграничните и общоевропейските последствия.

4.5

Днес правителствата и доставчиците на жизненоважни услуги не разгласяват информация за аварии в системите за сигурност и устойчивост, освен ако не са принудени да го правят. Тази липса на гласност пречи на способността на Европа да реагира бързо и ефективно на киберзаплахи и да подобри МИС като цяло чрез процес на взаимно обучение. Комитетът поздравява Комисията за решението да включи в директивата задължителното изискване за уведомяване по повод на всякакви значителни инциденти, свързани с МИС. ЕИСК не смята, че доброволното самостоятелно докладване на инциденти ще има ефект, поради това, че от страх да не опетнят репутацията си и да не им бъдат наложени санкции, пострадалите предприятия ще прикриват настъпилите аварии.

4.6

Въпреки това в член 14 от директивата, в който се разглеждат изискванията спрямо докладването, не се дава определение какво представлява инцидент със „значително отражение“ върху сигурността – обстоятелство, което дава твърде много свобода на съответните лица и на държавите членки да преценяват дали да докладват инциденти, свързани с МИС. Ефективното законодателство предполага недвусмислени изисквания. Тъй като предложената директива е твърде неясна по отношение на възловия въпрос за определяне на изискванията, не е възможно да се търси отговорност от страните за неспазване на разпоредбите, както е предвидено в член 17 от Директивата.

4.7

Тъй като предоставянето на МИС е най-вече в ръцете на частния сектор, е важно да бъдат поддържани високи равнища на доверие и сътрудничество с всички дружества, които отговарят за важна информационна инфраструктура и услуги. Инициативата за Европейско публично-частно партньорство за устойчивост (EP3R), която Комисията лансира през 2009 г., трябва да се приветства и насърчава. Въпреки това Комитетът счита, че инициативата трябва да бъде укрепена и подпомагана с нормативно установено задължение в акта за МИС, което да принуждава основните заинтересовани страни, които не полагат усилия да работят в сътрудничество, да коригират действията си.

4.8

Всяка държава членка следва да публикува онлайн директория за своята юрисдикция спрямо всички лица, които попадат в обхвата на описаните в член 14 от предложената директива изисквания за сигурност и задължения за уведомяване по повод настъпили инциденти. Подобна прозрачност не само ще изясни как всяка държава членка ще реши да прилага определенията в член 3 от акта, но ще помогне и за изграждането на доверие и ще насърчи утвърждаването на съзнателно гражданско отношение към управлението на риска.

4.9

ЕИСК отбелязва, че разработващите софтуер и производителите на хардуер са изрично изключени от изискванията на директивата, защото не са доставчици на услуги на информационното общество. Въпреки това Комитетът счита, че предложеният акт следва да посочи, че тези лица, към които директивата отправя задължителни изисквания, ще имат правото да държат отговорни доставчици на софтуер и хардуер за всякакви дефекти в техните продукти или услуги, които допринасят пряко за инциденти в сферата на МИС.

4.10

Въпреки че Комисията предвижда, че прилагането на предложената директива за МИС ще струва около 2 млрд. EUR годишно, разпределени между публичния и частния сектор в Европа, Комитетът отбелязва, че на някои държави членки, които са под финансов натиск, ще им е трудно да намерят необходимите инвестиции за спазване на разпоредбите на директивата. Необходимо е да се помисли как за спазването на разпоредбите за МИС може да бъде предоставена подкрепа по линия на МФР, посредством различни инструменти, включително Европейския фонд за регионално развитие, а може би и Фонда за вътрешна сигурност.