28.6.2018

BG

Официален вестник на Европейския съюз

C 227/86

---

Становище на Европейския икономически и социален комитет относно „Предложение за регламент на Европейския парламент и на Съвета относно ENISA — Агенцията на ЕС за киберсигурност, и за отмяна на Регламент (ЕС) № 526/2013, както и относно сертифицирането на киберсигурността на информационните и комуникационните технологии („Акт за киберсигурността“)“

[COM(2017) 477 final/2 2017/0225 (COD)]

(2018/C 227/13)

Докладчик:	Alberto MAZZOLA
Съдокладчик:	Antonio LONGO

Консултация	Европейски парламент, 23.10.2017 г. Съвет на Европейския съюз, 25.10.2017 г.
Правно основание	член 114 от Договора за функционирането на Европейския съюз
Компетентна секция	„Транспорт, енергетика, инфраструктури, информационно общество“
Приемане от секцията	5.2.2018 г.
Приемане на пленарна сесия	14.2.2018 г.
Пленарна сесия №	532
Резултат от гласуването („за“/„против“/„въздържал се“)	206/1/2

1.   Заключения и препоръки

1.1.

ЕИСК счита, че новият постоянен мандат за ENISA, предложен от Комисията, ще допринесе съществено за повишаване на устойчивостта на европейските системи. При все това обаче съпътстващите предварителен бюджет и ресурси, предоставени на ENISA, ще бъдат недостатъчни, за да изпълнява агенцията мандата си.

1.2.

ЕИСК препоръчва всички държави членки да създадат институция, която да е недвусмислено равностоен партньор на ENISA, тъй като повечето от тях все още не са създали такива.

1.3.

Освен това ЕИСК смята, че по отношение на изграждането на капацитет ENISA следва да даде приоритет на действия в подкрепа на електронното управление (1). Цифровата самоличност, валидна за ЕС/по света, за лица, организации и обекти е от основно значение, а приоритет следва да имат предотвратяването и борбата с кражбата на самоличност и онлайн измамите.

1.4.

ЕИСК препоръчва ENISA да предоставя редовни доклади относно киберготовността на държавите членки, насочени предимно към сектори, определени в Приложение II към Директивата за МИС. При ежегодните общоевропейски киберучения следва да се оценяват готовността на държавите членки и ефективността на европейския механизъм за реакция при кибернетични кризи и да се изготвят препоръки.

1.5.

ЕИСК подкрепя предложението за създаване на мрежа за компетентност в сферата на киберсигурността, която да бъде поддържана от експертен център за научни изследвания в областта на киберсигурността (CRCC). Тази мрежа би могла да подкрепи европейския цифров суверенитет чрез разработване на конкурентоспособна европейска промишлена база за ключови технологични способности въз основа на работата, извършена от договорните публично-частни партньорства (дПЧП), които следва да прераснат в Тристранни съвместни предприятия.

1.6.

Човешкият фактор е една от най-важните причини за инциденти в кибернетичното пространство. Според ЕИСК е необходимо да се изгради стабилна база от киберумения и да се подобри кибернетичната хигиена, включително чрез кампании за повишаване на осведомеността сред гражданите и предприятията. ЕИСК подкрепя създаването на сертифицирана на равнището на ЕС учебна програма за средните училища и специалистите.

1.7.

ЕИСК счита, че европейският цифров единен пазар се нуждае и от единно тълкуване на правилата за киберсигурност, включително взаимно признаване между държавите членки. ЕИСК смята, че наличието на рамка за сертифициране и схеми за сертифициране за различните сектори би могло да осигури общи базови показатели. Все пак към различните сектори трябва да се прилагат различни подходи поради начина, по който те функционират. Поради това ЕИСК смята, че в този процес следва да бъдат включени секторните агенции на ЕС (Европейска агенция за авиационна безопасност (EAAБ), Агенция за железопътен транспорт на Европейския съюз (ERA), Европейска агенция по лекарствата (EMA) и др.), а в някои случаи и със съгласието на ENISA, за да се гарантира съгласуваността, трябва да им бъде възложено да изготвят схеми в областта на киберсигурността. А в сътрудничество със CEN, Cenelec и ETSI следва да бъдат приети минимални европейски стандарти за сигурност в областта на ИТ.

1.8.

В състава на предвидената европейска група за сертифициране за целите на киберсигурността, подпомагана от ENISA, следва да влязат национални надзорни органи за сертифициране, заинтересовани страни от частния сектор, включително оператори от различни области на приложение, както и участници от научните среди и гражданското общество.

1.9.

ЕИСК счита, че Агенцията следва да контролира работата и вземането на решения от националните надзорни органи за сертифициране чрез одити и инспекции от името на Комисията и че в Регламента би трябвало да бъдат определени отговорностите и санкциите при неспазване на стандартите.

1.10.

ЕИСК счита, че сред дейностите по сертифициране трябва да се включи подходяща система за етикетиране, която да се прилага и към внасяните продукти, за да се повиши доверието на потребителите.

1.11.

Европа трябва да увеличи инвестициите, като обедини различните фондове на ЕС, национални фондове и частни инвестиции в посока на стратегическите цели в добро публично-частно сътрудничество и като създаде фонд на ЕС за киберсигурност за иновации и НИРД в текущата и бъдещата рамкова програма за научни изследвания. Освен това Европа следва да създаде фонд за внедряване за киберсигурност, с който да създаде нова възможност в текущия и бъдещия Механизъм за свързване на Европа, както и в следващия Европейския фонд за стратегически инвестиции (ЕФСИ) 3.0.

1.12.

ЕИСК счита, че „обикновените“ устройства за „интернет на хората“ (IoP) трябва да имат минимално ниво на сигурност. В този случай сертифицирането е ключов метод за осигуряване на по-високо ниво на сигурност. Сигурността на Интернет на нещата (ИН) следва да бъдат приоритет.

2.   Настояща рамка за киберсигурността

2.1.

Киберсигурността е от решаващо значение за просперитета и националната сигурност, както и за самото функциониране на нашите демокрации, свободи и ценности. „Киберсигурността е екосистема, в която законодателствата, организациите, уменията, сътрудничеството и техническото изпълнение трябва да бъдат в съзвучие, за да бъдат най-ефективни“, се посочва в Глобалния индекс на ООН за киберсигурност. Там се казва още, че киберсигурността „придобива все по-голямо значение в съзнанието на лицата, вземащи решения.“

2.2.

Поради революционното развитие на интернет необходимостта от сигурна екосистема придобива решаващо значение. Това революционно развитие не само предефинира индустриите от модела „дружество — потребител“ (B2C) като медиите, търговията на дребно и финансовите услуги; то промени производството, енергетиката, земеделието, транспорта и други промишлени сектори на икономиката, които взети заедно представляват почти две трети от световния брутен вътрешен продукт, както и инфраструктурата за публичните услуги и взаимодействията на хората с публичната администрация.

2.3.

Стратегията за цифровия единен пазар е изградена въз основа на подобряване на достъпа до стоки, услуги и съдържание, като създава подходяща правна рамка за цифровите мрежи и услуги и за реализирането на ползите от икономиката, основана на данни. Изчислено е, че стратегията може да допринесе 415 милиарда евро годишно за икономиката на ЕС. По преценки до 2022 г. в частния сектор в Европа няма да достигат 350 000 специалисти с умения в областта на киберсигурността (2).

2.4.

По преценка на проучване от 2014 г. икономическото въздействие на киберпрестъпността в Съюза през 2013 г. е възлязло на 0,41 % от БВП на Европейския съюз (т.е. около 55 млрд. евро) (3).

2.5.

Според Специалното проучване на Евробарометър 464a относно „Отношението на европейците към сигурността в кибернетичното пространство“ 73 % от потребителите на интернет се притесняват за защитата, осигурявана от уебсайтове, на личната им информация онлайн, а 65 % — за защитата, осигурявана от публичните органи. По-голямата част от респондентите се опасяват, че могат да бъдат жертва на различни форми на престъпления в кибернетичното пространство, и по-специално на зловреден софтуер на своите устройства (69 %), кражба на самоличност (69 %) и банкови карти и банкови измами онлайн (66 %) (4).

2.6.

Досега никоя правна уредба не успя да остане в крак с темпото на развитие на цифровите иновации, а редица правни текстове изграждат позиция по позиция подходяща уредба: преразглеждането на Кодекса за електронните съобщения, Общият регламент относно защитата на данните (ОРЗД), Директивата относно сигурността на мрежите и информационните системи (Директива относно МИС), Регламентът относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар (e-IDAS), Щитът за личните данни в отношенията между ЕС и САЩ, Директивата относно измами с непарични платежни средства, и др.

2.7.

Освен ENISA, „агенцията на ЕС за киберсигурност“, съществуват множество различни организации, занимаващи се с въпроси, свързани с киберсигурността: Европол; CERT-EU (екип на Европейския съюз за незабавно реагиране при компютърни инциденти), Център на ЕС за анализ на информация (EU INTCEN), Европейска агенция за оперативното управление на широкомащабни информационни системи в областта на свободата, сигурността и правосъдието (eu-LISA), информационни центрове за споделяне и анализ на информация (ISACs), Европейска организация за киберсигурност (ECSO), Европейска агенция по отбрана (EDA); експертен център на НАТО за кибернетична защита и група правителствени експерти на ООН (група на ООН от правителствени експерти по въпросите на развитието в областта на информацията и далекосъобщенията в контекста на международната сигурност).

2.8.

От първостепенно значение за осигуряването на висококачествени стоки и услуги е сигурността да е предвидена още при проектирането: интелигентните устройства не са чак толкова интелигентни, ако не са защитени, а същото важи и за интелигентните автомобили, интелигентните градове и интелигентните болници — всички те се нуждаят от вградена сигурност за устройства, системи, структури и услуги.

2.9.

На заседанието си на 19 и 20 октомври 2017 г. Европейският съвет призова за приемането на общ подход към киберсигурността в ЕС като последващо действие във връзка с предложения пакет за реформа, призовавайки за „общ подход към киберсигурността: цифровият свят изисква доверие, а доверието може да се постигне единствено чрез по-голяма проактивност по отношение на сигурността още на етапа на проектирането във всички цифрови политики, чрез подходящо сертифициране на сигурността на продуктите и услугите и повишаване на капацитета ни за предотвратяване, възпиране, установяване и реагиране на кибератаки“ (5).

2.10.

В своята резолюцията от 17 май 2017 г. Европейският парламент „подчертава необходимостта от цялостна сигурност по цялата верига за създаване на стойност в областта на финансовите услуги; насочва вниманието към големия брой и разнообразието от рискове, свързани с кибератаки, насочени към нашата инфраструктура на финансовите пазари, „интернет на предметите“, валутите и данните; […] призовава ЕНО, в сътрудничество с националните регулаторни органи, да правят редовен преглед на оперативните стандарти, като се обхващат рисковете на финансовите институции, свързани с ИКТ; освен това призовава за насоки на ЕНО относно контролирането на тези рискове; подчертава значението на технологичното ноу-хау, необходимо за изпълнението на задачите на ЕНО“ (6).

2.11.

ЕИСК и преди е имал възможност да се занимае с проблема (7), включително по време на срещата на върха в Талин, конференцията на тема „Бъдещето развитие на електронно правителство“ (8), и създаде постоянна проучвателна група относно Програмата в областта на цифровите технологии.

3.   Предложенията на Комисията

3.1.

В пакета за киберсигурност влизат съвместното съобщение за преглед на предишната Европейска стратегия за киберсигурност (2013 г.) и Актът за киберсигурността, насочени към новия мандат на ENISA и предложена рамка за сертифициране.

3.2.

Стратегията е структурирана около три основни теми: устойчивост, възпиране и международно сътрудничество. В частта относно възпирането се разглеждат основно въпросите на киберпрестъпността, включително Будапещенската конвенция, а в частта относно международното сътрудничество — кибернетичната отбрана, кибердипломацията и сътрудничеството с НАТО.

3.3.

Предложението съдържа нови инициативи, например: — изграждане на по-солидна агенция на ЕС за киберсигурността; — въвеждане на схема за сертифициране на киберсигурността на равнището на ЕС; — бързо прилагане на Директивата за МИС.

3.4.

В частта относно устойчивостта се предлагат действия, свързани с киберсигурността, насочени по-конкретно към: пазарни въпроси, Директивата за МИС, бързо аварийно реагиране, развитие на правомощия на ЕС, образование, обучение — по киберумения и киберхигиена — и осведоменост).

3.5.

Успоредно с това, Актът за киберсигурността предлага създаването на рамка на ЕС за сертифициране в областта на киберсигурността за ИКТ продукти и услуги.

3.6.

В Акта за киберсигурността се предлага засилена роля за ENISA като агенцията на ЕС за киберсигурността, на която се дава постоянен мандат. Очаква се в допълнение към сегашните си задължения ENISA да поеме нови помощни и координационни задачи, свързани с подкрепата за прилагането на Директивата относно мрежовата и информационната сигурност, Стратегията на ЕС за киберсигурност, проекта, изграждането на капацитет, знания и информация, повишаването на осведомеността, свързаните с пазара функции като подкрепа за стандартизацията и сертифицирането, научните изследвания и иновациите, общоевропейските учения по въпросите на киберсигурността, както и секретариата на мрежата на екипа за реагиране при инциденти с компютърната сигурност (ЕРИКС).

4.   Общи бележки — Общ преглед

4.1.    Контекст: устойчивост

4.1.1.   Единен пазар на решения, свързани с киберсигурността

Задължение за полагане на грижи: разработването на предложения принцип за „задължение за полагане на грижи“, посочен в съвместното съобщение за използването на жизнен цикъл от сигурни процеси на разработка, е интересна концепция, която предстои да бъде разработена с промишления сектор на ЕС, което би могло да доведе до цялостен подход за спазване на правните изисквания на ЕС. За бъдещото развитие следва да се отчита сигурността по подразбиране.

Отговорност: Сертификацията ще улесни определянето на отговорността в случай на спор.

4.1.2.

Директивата за МИС: енергетика, транспорт, банки/финанси, здравеопазване, водоснабдяване, дигитална инфраструктура, електронна търговия.

ЕИСК смята, че пълното и ефективно прилагане на директивата за мрежова и информационна сигурност е от съществено значение, за да се гарантира устойчивостта на националните критични сектори.

ЕИСК счита, че споделянето на информация между публичните и частните участници следва да се укрепи чрез секторни центрове за споделяне и анализ на информация (ISACs). Следва да бъде разработен подходящ механизъм за осъществяване на защитен обмен на доверителна информация в рамките на центъра за споделяне и анализ на информация (ISAC) и между екипите за реагиране при инциденти с компютърната сигурност (CSIRTs) и ISAC, въз основа на оценка/анализ на механизма, който се използва понастоящем.

4.1.3.   Бързо реагиране при извънредни ситуации

„Проектният“ подход ще осигури ефективен процес за оперативно реагиране на равнището на ЕС и на държавите членки при мащабен инцидент. Комитетът подчертава необходимостта от участие на частния сектор; следва да се вземат предвид и операторите на основни услуги в оперативния механизъм за реагиране, тъй като те могат да осигурят ценна информация за заплахи и/или подкрепа при разкриването и реагирането на заплахи и широкомащабни кризи.

В съвместното съобщение се предлага кибернетичните инциденти да се разглеждат в механизмите на ЕС за управление на кризи. Въпреки че ЕИСК разбира необходимостта от колективна реакция и солидарност в случай на атака, е необходимо да се знае по-добре как това би могло да се прилага, тъй като кибернетичните заплахи обикновено се разпространяват в много държави. Инструментите, използвани при национални извънредни ситуации, могат да бъдат споделяни само частично в случай на необходимост на местно равнище.

4.1.4.   Развиване на компетентност на ЕС

За да бъде ЕС действително конкурентоспособен на световната сцена и да изгради солидна технологична база, от основно значение е да се създаде последователна и дългосрочна рамка, която да обхваща всички етапи от веригата за създаване на стойност в областта на киберсигурността. В това отношение насърчаването на сътрудничеството между европейските регионални екосистеми е от ключово значение за развитието на европейска верига за създаване на стойност в областта на киберсигурността. ЕИСК приветства предложението за създаване на мрежа за компетентност в сферата на киберсигурността.

Тази мрежа би могла да подкрепи европейския цифров суверенитет чрез разработване на конкурентоспособна европейска промишлена база и намаляване на зависимостта от ноу-хау, разработено извън ЕС, за ключови технологични възможности, да предоставя технически учения, работни семинари и дори обучение по съществена кибернетична хигиена за професионални и непрофесионални оператори, а също и — въз основа на работата, извършена от дПЧП — да насърчава развитието на мрежа от национални публично-частни организации с цел подкрепа на развитието на пазара в Европа. „Насърчаването на дПЧП следва да доведе до тяхното оптимизиране, адаптиране или разширяване“ (Работна програма относно киберсигурността на тройката председателства Естония, България и Австрия) чрез създаването на тристранно съвместно предприятие (Комисия, държави членки, предприятия).

За да бъде ефективна и да постига предложените цели на европейско равнище, мрежата следва да се основава на ясно определена система на управление.

Тази мрежа ще бъде подкрепена от експертен център за научни изследвания в областта на киберсигурността (CRCC) на европейско равнище, свързващ съществуващите национални центрове за компетентност в целия ЕС. CRCC не само ще координира и управлява научноизследователската дейност в други съвместни предприятия, но и ще дава възможност за ефективно развитие на европейска екосистема в областта на киберсигурността в подкрепа на развитието и внедряването на иновациите в ЕС.

4.2.    Контекст: възпиране

4.2.1.

Борбата с киберпрестъпността е един от най-важните приоритети на национално и европейско равнище, който изисква силна политическа воля. Дейностите за възпиране следва да се извършват въз основа на солидно партньорство между публичния и частния сектор, като се създаде ефикасен обмен на информация и експертен опит както на национално, така и на европейско равнище. Следва да се помисли за разширяване на дейностите на Европол в разследването и наблюдението на киберпрестъпления.

4.3.    Контекст: международно сътрудничество

4.3.1.

Изграждането и поддържането на сътрудничество на доверие с трети държави чрез кибердипломация и бизнес партньорства е от ключово значение за укрепване на капацитета на Европа за предотвратяване, възпиране и реакция на мащабни кибернетични атаки. Европа следва да засили сътрудничеството си със САЩ, Китай, Израел, Индия и Япония. При модернизирането на контрола на износа от ЕС следва да се избегнат нарушения на правата на човека или неправилно използване на технологии срещу собствената сигурност на ЕС, а също така да се гарантира, че промишлеността на ЕС няма да бъде поставена в неизгодно положение по отношение на оферти от трета държава. Следва да се предвиди временна стратегия за страните в процес на присъединяване, за да могат да се подготвят за обмен на чувствителни трансгранични данни, включително за да могат да участват като наблюдатели в някои от дейностите на държавите от ENISA — те следва да бъдат класирани според готовността им за борба с киберпрестъпността, като може да се помисли и за черен списък.

4.3.2.

ЕИСК приветства въвеждането на кибернетичната отбрана в предвидената втора фаза на евентуален бъдещ експертен център на ЕС в областта на киберсигурността на ЕС. Поради тази причина, междувременно, Европа би могла да проучи развитието на компетентностите с двойна употреба, включително мобилизирането на Европейския фонд за отбрана и планираното създаване до 2018 г. на платформа за обучение и образование в областта на кибернетичната отбрана. Като има предвид, че потенциалът и заплахите са взаимно признати, ЕИСК смята, че е необходимо да се развие сътрудничеството между ЕС и НАТО, а европейската индустрия да следи отблизо и развитията в сътрудничеството между ЕС и НАТО за укрепване на оперативната съвместимост на стандартите за киберсигурността и други форми на сътрудничество в контекста на подхода на ЕС за кибернетична отбрана.

4.4.    Рамка на ЕС за сертифициране

4.4.1.

ЕИСК смята, че Европа трябва да се изправи пред предизвикателството на разпокъсаността на киберсигурността чрез единно тълкуване на правилата, включително от взаимно признаване между държавите членки посредством единна структура за улесняване на защитата на цифровия единен пазар. Рамка за сертифициране би могла да предостави обща основа (с конкретни разпоредби за по-високи нива, ако е необходимо), като осигури синергии между вертикалните сектори и намали настоящата разпокъсаност.

4.4.2.

ЕИСК приветства създаването на рамка за сертифициране на ЕС за киберсигурността и схеми за сертифициране за различните сектори въз основа на подходящи изисквания и в сътрудничество с основните заинтересовани страни. Въпреки това времето за пускане на пазара и разходите за сертифициране, както и качеството и сигурността са ключови елементи, които трябва да се вземат под внимание. Ще бъдат създадени схеми за сертифициране за увеличаване на сигурността в съответствие с настоящите потребности и познания за заплахите: следва да се разгледа гъвкавостта на тези схеми и способността им да се развиват, за да има възможност за извършване на необходимите актуализации. Към различните сектори трябва да се прилагат различни подходи поради начина, по който те функционират. Поради това ЕИСК смята, че в този процес следва да бъдат включени секторните агенции на ЕС (ЕААБ, ЕБО, ERA, EMA и др.), а в някои случаи и със съгласието на ENISA — за да се избегне дублирането и липса на съгласуваност, трябва да им бъде възложено да изготвят схеми в областта на киберсигурността.

4.4.3.

Според ЕИСК е важно рамката за сертификация да се опре на общо определени европейски и, доколкото е възможно, международно признати стандарти за киберсигурност и за ИКТ. Като се вземат предвид времевата рамка и националните прерогативи, в сътрудничество с CEN, Cenelec и ETSI следва да бъдат приети минимални европейски стандарти за сигурност в областта на ИТ. Професионалните стандарти следва да се възприемат положително, но не трябва да бъдат правно обвързващи или да възпрепятстват конкуренцията.

4.4.4.

Налице е ясна необходимост от обвързване на задълженията с различните нива на обезпечаване на сигурност въз основа на въздействието на заплахите. Започването на диалог със застрахователните дружества би могло да допринесе за приемането на ефективни изисквания за киберсигурност в съответствие със сектора на приложение. ЕИСК смята, че дружествата, които търсят „високо ниво на сигурност“, трябва да бъдат подкрепяни и насърчавани, особено за животокритични изделия и системи.

4.4.5.

Като се има предвид времето, изминало от приемането на Директива 85/374/ЕИО (9), и с оглед на текущите технологични развития, ЕИСК призовава Комисията да проучи целесъобразността на включването в обхвата на директивата на някои от сценариите, предвидени в предложението за регламент, за да осигури по-безопасни продукти с високо равнище на защита.

4.4.6.

ЕИСК смята, че в състава на предвидената европейска група за сертифициране за целите на киберсигурността, подпомагана от ENISA, следва да влязат национални надзорни органи за сертифициране, заинтересованите страни от частния сектор и операторите от различните области на приложение, за да се гарантира развитието на всеобхватни схеми за сертифициране. Освен това следва да се предвиди сътрудничество между тази група и представителните за сектора сдружения от ЕС/ЕИП (напр. дПЧП, банковия сектор, транспорта, енергетиката, федерациите и др.), чрез назначаване на експерти. Тази група следва да може да взема под внимание европейските постижения в областта на сертифицирането (главно въз основа на споразумението за взаимно признаване (СВП) на Групата на висшите служители по сигурността на информационните системи (SOG-IS), национални и частни схеми) и да има за цел да съхранява европейските конкурентни предимства.

4.4.7.

ЕИСК предлага на тази група от заинтересовани страни да бъде възложена отговорността за съвместно изготвяне на схеми за сертифициране, заедно с Европейската комисия. И секторните изисквания следва да бъдат определени посредством консенсусно споразумение между публичните и частните заинтересовани страни (ползватели и доставчици).

4.4.8.

Освен това групата следва да прави редовен преглед на схемите за сертифициране, като взема предвид изискванията на всеки сектор, и да адаптира схемите при необходимост.

4.4.9.

ЕИСК подкрепя постепенното премахване на националните схеми за сертифициране, когато се въведе европейска схема, както се предлага в член 49 от Регламента. Единният пазар не може да функционира с различни и конкуриращи се национални правила. За тази цел ЕИСК предлага да се извърши преброяване на всички национални схеми.

4.4.10.

ЕИСК предлага на Комисията да даде ход на мерки за насърчаване на сертифицирането за киберсигурност и на сертификатите в ЕС и за подкрепяне на тяхното признаване във всички международни търговски споразумения.

4.5.    ENISA

4.5.1.

ЕИСК счита, че новият постоянен мандат за ENISA, предложен от Комисията, ще допринесе съществено за повишаване на устойчивостта на европейските системи. При все това обаче съпътстващите предварителен бюджет и ресурси, предоставени на реформираната ENISA, може да се окажат недостатъчни, за да изпълнява агенцията мандата си.

4.5.2.

ЕИСК насърчава всички държави членки да създадат институция, която да е недвусмислено равностоен партньор на ENISA, тъй като повечето от тях все още не са създали такива. Следва да се насърчава провеждането на структурирана програма за командироване на национални експерти в ENISA, за да се подпомага обменът на най-добри практики и да се укрепва доверието. Освен това Комитетът препоръчва на Комисията да гарантира събирането и обменянето на текущите добри практики и ефективни мерки, съществуващи в държавите членки.

4.5.3.

Освен това ЕИСК смята, че по отношение на изграждането на капацитет ENISA следва да даде приоритет на действия в подкрепа на електронното управление (10). Цифровата самоличност, валидна за ЕС/по света, за лица, организации, предприятия и обекти е от основно значение, и приоритет следва да бъде предотвратяването и борбата с кражбата на самоличност и онлайн измамите, както и противодействието на кражбата на индустриална интелектуална собственост.

4.5.4.

ENISA следва да предоставя и редовни доклади относно киберготовността на държавите членки, насочени предимно към сектори, определени в Приложение II към Директивата за МИС. При ежегодните общоевропейски киберучения следва да се оценяват готовността на държавите членки и ефективността на европейския механизъм за реакция при кибернетични кризи и да се изготвят препоръки.

4.5.5.

ЕИСК изразява загриженост, че ресурсите са твърде ограничени, що се отнася до оперативното сътрудничество, включително в мрежата на екипите за реагиране при инциденти с компютърната сигурност (CSIRTs).

4.5.6.

По отношение на задачите, свързани с пазара, ЕИСК счита, че увеличаването на регионалното сътрудничество с държавите членки и създаването на официална мрежа от агенции за киберсигурност ще съдейства за подпомагане на сътрудничеството между заинтересованите страни (11). Времето за пускане на пазара е много кратко и е от решаващо значение, за да могат дружествата от ЕС да се конкурират в тази област, а ENISA трябва да бъде в състояние да реагира съответно. ЕИСК счита, че както и други агенции на ЕС, в бъдеще ENISA би могла да прилага система от такси и плащания. ЕИСК изразява загриженост, че конкуренцията за компетентности между ЕС и националните агенции би могла, както е ставало в други области, да забави правилното установяване на регулаторната рамка на ЕС и да нанесе щети на единния пазар на ЕС.

4.5.7.

ЕИСК отбелязва, че задачите, свързани с международното сътрудничество и НИРД, понастоящем са минимални.

4.5.8.

ЕИСК смята, че киберсигурността следва да бъде редовна точка за обсъждане по време на съвместните заседания на агенциите по правосъдие и вътрешни работи (ПВР) и че ENISA и Европол трябва да си сътрудничат редовно.

4.5.9.

Тъй като светът на кибернетиката е изключително иновативен, стандартите трябва да се разглеждат внимателно, за да се избегнат пречки за иновациите, които изискват динамична рамка; в рамките на възможното следва да се гарантира съвместимостта и с по-стари, и с по-нови поколения продукти, за да се защитят инвестициите на гражданите и предприятията.

4.5.10.

Поради значението на националните надзорни органи за сертифициране, ЕИСК смята, че с настоящия регламент следва да се установи формална мрежа на органите, оправомощени да решават трансгранични въпроси с помощта на ENISA. На по-късен етап мрежата би могла да се развие в единна агенция.

4.5.11.

Доверието е от основно значение, но ENISA не може да излиза с решения, нито с одитни доклади. ЕИСК счита, че Агенцията следва да контролира работата и вземането на решения от националните надзорни органи за сертифициране чрез одити и инспекции от името на Комисията.

4.5.12.

Следва да се предостави възможност за участие в управителния съвет на ENISA като наблюдатели на промишлеността и потребителските организации.

4.6.    Промишленост, МСП, финансиране/инвестиции и новаторски бизнес модели

4.6.1.   Промишленост и инвестиции

За да се повиши конкурентоспособността в световен план на предприятията в ЕС, работещи в областта на ИКТ, действията следва да бъдат насочени към по-добра подкрепа за растежа и конкурентоспособността на отрасъла на информационните и комуникационните технологии, включително на МСП.

Европа трябва да увеличи инвестициите, като обедини различните фондове на ЕС, националните фондове и публично-частните инвестиции в посока на стратегическите цели при силно публично-частно сътрудничество. Следва да се повиши равнището на инвестициите в ключови области и да се подкрепя чрез създаването на фонд на ЕС за киберсигурност за иновации и НИРД в текущата и бъдещата рамкова програма за научни изследвания. Освен това Европа следва да създаде фонд за внедряване за киберсигурност, с който да създаде нова възможност в текущия и бъдещия Механизъм за свързване на Европа, както и в следващия Европейски фонд за стратегически инвестиции (ЕФСИ) 3.0.

Трябва да се създадат стимули за държавите — членки на ЕС, да закупуват при възможност европейски решения и да избират европейски доставчици, ако съществуват, особено за приложения с чувствително съдържание. Европа следва да подпомага растежа на водещите европейски кибернетични компании, които могат да се конкурират на световния пазар.

4.6.2.   МСП

Поради разпокъсаността на пазара е необходима по-голяма яснота по отношение на търсенето от страна на клиентите, за да се отговори по-добре на пазарното търсене. Без структурирано търсене МСП и стартиращите предприятия не могат да се разрастват с бързи темпове. В този контекст ще бъде положително създаването на европейски център за МСП в областта на киберсигурността.

Технологиите за киберсигурност се променят бързо и МСП, благодарение на гъвкавостта си, могат да осигурят иновативни решения, необходими за да останат конкурентоспособни. В сравнение с трети държави, ЕС все още търси подходящ бизнес модел за МСП.

Биха могли да бъдат разработени схеми в подкрепа на разходите за сертифициране на стартиращи предприятия и МСП, за да могат те да преодолеят големите затруднения, които срещат в набирането на средства за своето технологично и търговско развитие.

4.7.    Човешкият фактор: образование и защита

4.7.1.

ЕИСК отбелязва, че предложението на Комисията не отчита в достатъчна степен хората като двигатели на цифрови процеси — било като техни бенефициери, било като причина за сериозни киберинциденти.

4.7.2.

Необходимо е да се изгради стабилна база от киберумения и да се подобри кибернетичната хигиена и осведоменост сред гражданите и предприятията. За да се постигне този резултат, следва да се помисли за специализирани инвестиции, време за обучение на инструктори на високо равнище и ефективни кампании за повишаване на осведомеността. Изпълнението на тези три насоки на действие изисква участието на националните и регионалните власти (отговорни за създаване на ефективни учебни програми и инвестирането в тях) и на предприятията и МСП чрез колективен подход.

4.7.3.

Следва да се предвиди създаването на — по възможност сертифицирани от ЕС, учебни програми за висшите учебни заведения и специалистите, с активното участие на ENISA и нейните партньори на национално равнище. Освен това трябва да се помисли за равенството между половете при разработването на образователни програми за повишаване на равнищата на заетост в областта на киберсигурността.

4.7.4.

ЕИСК счита, че процесът на сертифициране трябва да включва подходяща система за етикетиране на хардуер и софтуер, както е при много други продукти (напр. енергийни продукти). Този инструмент ще има тройно предимство — намалява разходите за предприятията, преодолява съществуващата разпокъсаност на пазара, предизвикана от различните системи за сертифициране, приети на национално равнище, и улеснява разбирането на потребителите за качеството и характеристиките на закупения продукт. В това отношение е важно продуктите, внесени от трети страни, да са предмет на същите механизми за сертифициране и етикетиране. Накрая, ЕИСК счита, че въвеждането на специално лого може да бъде ефективен начин за непосредствено информиране на потребителите и ползвателите относно надеждността на закупените продукти или търговски обекти или обекти, в които се предават чувствителни данни.

4.7.5.

ENISA следва да проведе съществена информационна кампания на различни равнища за повишаване на осведомеността, с цел подобряване и на познанията за „сигурното“ поведение в кибернетичното пространство, и на доверието на потребителите в интернет. За тази цел трябва да участват бизнес асоциациите, асоциациите на потребителите и други органи за цифрови услуги.

4.7.6.

В допълнение към Акта за киберсигурност, както вече беше предложено в Становище INT/828, ЕИСК счита, че е от съществено значение при първа възможност да започне голяма общоевропейска програма за цифрово образование и обучение, която да предостави на всекиго необходимите за справяне с прехода инструменти. Макар да признава специфичните национални правомощия в тази област, ЕИСК изразява надежда, че програмата ще започне в училищата, като се основава на знанията на преподавателите, чрез адаптиране на учебните програми и методите на преподаване към цифровите технологии (включително електронно обучение) и осигуряване на качествено обучение за всички ученици. Естествено в програмата ще се включва разпоредба за учене през целия живот с цел адаптиране или актуализиране на уменията на всички работници (12).

5.   Специфични бележки

5.1.    Нововъзникващите технологии и решения: интернет на нещата (ИН)

Непрекъснато нараства броят на свързаните устройства и се очаква да достигне число, кратно на броя на хората, живеещи на земята, поради цифровизацията на компоненти, системи и решения, и подобрената свързаност. Тази тенденция създава нови възможности за извършителите на престъпления в кибернетичното пространство, особено поради факта, че устройствата, базирани на интернет на нещата, често не са толкова добре защитени колкото традиционните изделия.

Европейски стандарти за сигурност по различните вертикали, използващи устройства, базирани на интернет на нещата, могат да намалят усилията за развитие, времето и бюджета за всички промишлени участници във веригата за създаване на стойност на свързани продукти.

Вероятно ще бъде необходима някаква форма на минимално ниво на сигурност чрез идентификация и управление на достъпа (IDAM), коригиране и управление на устройствата за „обикновените“ устройства на „интернет на хората“. Тъй като сертифицирането е основен начин за осигуряване на по-високо равнище на сигурност, в новия подход на ЕС за сертифициране следва да се отдели повече внимание на сигурността на „интернет на нещата“ (ИН).

---

(1)  Цифров единен пазар: междинен преглед.

(2)  ОВ JOIN(2017) 450 final.

(3)  Работен документ на службите на Комисията — Оценка на въздействието, придружаваща Предложението за регламент на Европейския парламент и на Съвета, част 1/6, стр. 21, Брюксел, 13.9.2017 г.

(4)  Специално проучване на Евробарометър 464a — вълна EB87.4 — „Отношението на европейците към киберсигурността“, септември 2017 г.

(5)  Заключения на Европейския съвет от 19 октомври 2017 г.

(6)  Резолюция на ЕП от 17.5.2017 г. — A8-0176/2017.

(7)  Цифров единен пазар: междинен преглед. ОВ C 75, 10.3.2017 г., стр. 124, ОВ C 246, 28.7.2017 г., стр. 8, ОВ C 345, 13.10.2017 г., стр. 52, ОВ C 288, 31.8.2017 г., стр. 62, ОВ C 271, 19.9.2013 г., стр. 133.

(8)  Съобщение за медиите от ЕИСК № 31/2017 „Гражданското общество провежда дебати за електронното управление и киберсигурността с предстоящото естонско председателство“: https://www.eesc.europa.eu/en/news-media/press-releases/civil-society-debates-e-government-and-cybersecurity-incoming-estonian-presidency.

(9)  ОВ L 210, 7.8.1985 г, стр. 29.

(10)  Цифров единен пазар: междинен преглед.

(11)  ОВ C 75, 10.3.2017 г., стр. 124.

(12)  Цифров единен пазар: междинен преглед.

---