6.4.2011   

CS

Úřední věstník Evropské unie

C 107/58

1.1

EHSV si dobře uvědomuje, do jaké míry je občanská společnost v současnosti závislá na službách poskytovaných prostřednictvím internetu. Výbor je stejně tak znepokojen poměrnou neinformovaností občanské společnosti o vlastní počítačové bezpečnosti. EHSV je toho názoru, že úkolem Evropské agentury pro bezpečnost sítí a informací (ENISA) je pomoci členským státům a poskytovatelům služeb posílit jejich obecné bezpečnostní normy tak, aby všichni uživatelé internetu podnikli potřebné kroky pro vlastní počítačovou bezpečnost.

1.2

EHSV tedy podporuje návrh dále rozvíjet agenturu ENISA s cílem zajistit vysokou úroveň bezpečnosti sítí a informací v Unii, zvýšit informovanost a vytvořit ve společnosti kulturu bezpečnosti sítí a informací v zájmu občanů, spotřebitelů, podniků a organizací veřejného sektoru v Unii, a přispět tím k řádnému fungování vnitřního trhu.

1.3

Poslání agentury ENISA je nezbytným předpokladem bezpečného vývoje síťové infrastruktury států, průmyslu, obchodu a občanské společnosti v EU. EHSV očekává, že Evropská komise stanoví pro agenturu ty nejpřísnější výkonnostní požadavky a bude monitorovat její výkonnost v souvislostech vývoje a vzniku ohrožení počítačové bezpečnosti.

1.4

Všechny počítačové strategie definované NATO, Europolem a Evropskou komisí závisí na účinné spolupráci s členskými státy, které samy mají pestrou směsici vnitrostátních agentur zabývajících se otázkami počítačové bezpečnosti. Strategie NATO a Europolu mají být proaktivní a operativní. Ve strategii Evropské komise je agentura ENISA jednoznačně významnou součástí složitého spektra agentur a misí na ochranu kritické informační infrastruktury (CIIP). Ačkoli nové nařízení nenavrhuje, aby měla agentura ENISA operativní úlohu, EHSV stále v agentuře ENISA spatřuje agenturu primárně odpovědnou za CIIP občanské společnosti EU.

1.5

Operativní odpovědnost za počítačovou bezpečnost na úrovni členských států náleží členským státům, avšak standardy CIIP v 27 členských státech jsou v současné době evidentně nejednotné. Úlohou agentury ENISA je pomoci méně vybaveným členským státům dosáhnout vyšší, přijatelné úrovně. Agentura musí zajistit, aby mezi sebou členské státy spolupracovaly, a pomoci jim při uplatňování osvědčených postupů. U přeshraničních útoků musí agentura ENISA zajišťovat varovnou a preventivní funkci.

1.6

Agentura ENISA bude rovněž muset být zapojena do mezinárodní spolupráce s mocnostmi mimo EU. Tato spolupráce bude mít velmi politický charakter a bude se dotýkat řady složek EU; EHSV se nicméně domnívá, že agentura ENISA si musí zajistit své místo na mezinárodní scéně.

1.7

Výbor se domnívá, že agentura ENISA může zastávat velmi významnou úlohu při přispívání do výzkumných projektů v oblasti bezpečnosti a při jejich podněcování.

1.8

Pokud jde o posouzení dopadů, EHSV v současnosti nepodpoří plné provádění možností 4 a 5, jež by z agentury ENISA učinily operační agenturu. Počítačová bezpečnost je obrovským problémem a hrozby se vyvíjejí dynamicky, proto musí být členské státy i nadále s to proaktivně proti těmto hrozbám bojovat. Vytváření operačních agentur EU zpravidla vede ke ztrátě schopností na straně členských států. V oblasti počítačové bezpečnosti platí opak – schopnosti členských států musí být posíleny.

1.9

EHSV rozumí postoji Komise, že agentura ENISA by měla mít jasně definované a řádně kontrolované poslání s odpovídajícími prostředky. EHSV se i přesto obává, že pevně stanovený pětiletý mandát agentury ENISA by mohl být omezením pro dlouhodobé projekty a mohl by ohrozit rozvoj lidského kapitálu a znalostí v agentuře. Bude se jednat o poměrně malou agenturu, která se bude zabývat velkým a narůstajícím problémem. Rozsah a oblast působnosti agentury ENISA vyžaduje, aby tato agentura nasazovala týmy odborníků. Bude provádět různorodou činnost, do níž budou spadat jak krátkodobé úkoly, tak dlouhodobé projekty. Výbor by proto byl raději, kdyby mandát agentury ENISA byl dynamický a otevřený a byl by průběžně potvrzován pravidelným posuzováním a vyhodnocováním. To by umožnilo postupné přidělování zdrojů v opodstatněných případech.

2.1

Toto stanovisko se vztahuje k nařízení, jehož cílem je dále rozvíjet agenturu ENISA.

2.2

Komise formulovala svůj první návrh politického přístupu k bezpečnosti sítí a informací ve sdělení z roku 2001 (KOM(2001) 298 v konečném znění). Pan Retureau připravil v reakci na toto sdělení obsáhlé stanovisko (1).

2.3

Komise poté navrhla nařízení o zřízení agentury ENISA (KOM(2003) 63 v konečném znění). Stanovisko EHSV (2) k tomuto nařízení vypracoval pan Lagerholm. Agentura byla skutečně zřízena nařízením ES č. 460/2004.

2.4

Se silným nárůstem počtu uživatelů internetu se bezpečnost informací stávala stále větším problémem. V roce 2006 Komise zveřejnila sdělení definující strategii pro bezpečnou informační společnost (KOM(2006) 251 v konečném znění). Stanovisko EHSV (3) vypracoval pan Pezzini.

2.5

Kvůli rostoucímu znepokojení nad otázkou bezpečnosti informací Komise v roce 2009 předložila návrh týkající se ochrany kritické informační infrastruktury (KOM(2009) 149 v konečném znění). Pan McDonogh vypracoval stanovisko (4), jež bylo přijato na plenárním zasedání EHSV v prosinci 2009.

2.6

Nyní je navrhováno posílení a zlepšení fungování agentury ENISA s cílem zajistit vysokou úroveň bezpečnosti sítí a informací v Unii, zvýšit informovanost a vytvořit ve společnosti kulturu bezpečnosti sítí a informací v zájmu občanů, spotřebitelů, podniků a organizací veřejného sektoru v Unii, a přispět tím k řádnému fungování vnitřního trhu.

2.7

Agentura ENISA však není jedinou zamýšlenou agenturou pro bezpečnost kyberprostoru EU. Reakce na kybernetickou válku a kybernetický terorismus je záležitostí armády. Nejdůležitější agenturou v této oblasti je NATO. V souladu s novou strategickou koncepcí zveřejněnou na Lisabonském summitu v listopadu 2010 (k dispozici na adrese http://www.nato.int/lisbon2010/strategic-concept-2010-eng.pdf) bude NATO dále rozvíjet svou schopnost předcházet počítačovým útokům, odhalovat je, bránit se jim a zajistit obnovu provozu, a to i prostřednictvím využití plánovacího procesu NATO k posílení a koordinaci schopnosti jednotlivých států bránit se počítačovým útokům, zahrnutí všech orgánů NATO pod centralizovanou počítačovou ochranu a lepší integrace systémů NATO a členských zemí pro informování o počítačových útocích, varování před nimi a reakci na ně.

2.8

V návaznosti na počítačový útok na Estonsko v roce 2007 bylo 14. května 2008 oficiálně zřízeno Špičkové středisko pro spolupráci v oblasti počítačové ochrany (CCD COE – Cooperative Cyber Defence Centre of Excellence), aby tak byla posílena schopnost NATO bránit se počítačovým útokům. Toto středisko se sídlem v estonském Tallinnu je mezinárodní iniciativou, na níž se v současnosti podílejí Estonsko, Lotyšsko, Litva, Německo, Maďarsko, Itálie, Slovensko a Španělsko coby sponzorující státy.

2.9

Počítačovou trestnou činnost má na úrovni EU na starosti Europol. Toto je výňatek z dokumentu, který Europol předložil Sněmovně lordů (anglický originál viz http://www.publications.parliament.uk/pa/ld200910/ldselect/ldeucom/68/68we05.htm):

Je jasné, že donucovací orgány musí držet krok s technologickým pokrokem pachatelů trestné činnosti, aby bylo zaručeno účinné předcházení těmto trestným činům a jejich odhalování. Vzhledem k tomu, že nejmodernější technologie nejsou omezeny hranicemi, musí být tato schopnost kromě toho na podobně vysoké úrovni ve všech zemích EU, aby se nemohla vytvářet slabá místa, v nichž by beztrestně vzkvétala trestná činnost páchaná prostřednictvím těchto technologií. Tato schopnost zdaleka není v EU stejná. Ve skutečnosti je rozvoj v jednotlivých členských státech výrazně nerovnoměrný; některé státy dělají velké pokroky v určitých oblastech, zatímco jiné v oblasti technologie zaostávají. Tím vzniká potřeba centralizované služby na pomoc všem členským státům při koordinaci společných činností, na podporu standardizace přístupů a norem kvality a pro hledání a výměnu osvědčených postupů. Jen tak lze v oblasti prosazování práva v EU zaručit stejnorodé úsilí o potírání trestné činnosti páchané prostřednictvím nejmodernějších technologií.

2.10

V roce 2002 bylo v rámci Europolu zřízeno Středisko pro potírání trestné činnosti páchané prostřednictvím nejmodernějších technologií (HTCC – High Tech Crime Centre). Jde o poměrně malé oddělení, očekává se však, že se v budoucnu rozroste a bude jádrem činnosti Europolu v této oblasti. HTCC hraje významnou úlohu při koordinaci, operační podpoře, strategické analýze a školení. Obzvláště důležitá je činnost v oblasti školení. Kromě toho Europol zřídil Evropskou platformu pro potírání počítačové trestné činnosti (ECCP – European Cyber Crime Platform). Tato platforma se zaměřuje na následující otázky:

2.11

Strategie EU v oblasti počítačové bezpečnosti je popsána v kapitole Důvěra a bezpečnost Digitální agendy pro Evropu. Jsou zde uvedeny tyto problémy:

Internet se prozatím ukázal jako pozoruhodně bezpečný, odolný a stabilní, ale sítě informačních technologií a koncová zařízení koncových uživatelů zůstávají zranitelné vůči velkému množství nově vznikajících hrozeb: nevyžádané e-maily (spamy) se v posledních letech rozmnožily do té míry, že zahlcují e-mailový provoz na internetu – dle různých odhadů činí 80 až 98 % všech přenášených e-mailů – a kromě toho šíří rozmanité viry a škodlivý software. Přibývá také případů krádeže identity a internetových podvodů. Útoky se stávají čím dál promyšlenější (trojské koně, botnety atd.) a často jsou motivovány finančními zájmy. Mohou být též motivovány politicky, jak ukázaly nedávné kybernetické útoky namířené proti Estonsku, Litvě a Gruzii.

2.12

V Agendě jsou naplánována tato opatření:

klíčové opatření č. 6: v roce 2010 představit opatření zaměřená na posílenou politiku bezpečnosti sítí a informací a její vysokou úroveň, včetně takových legislativních iniciativ jako modernizování agentury ENISA a opatření umožňující rychlejší reakce v případě kybernetických útoků, zahrnující skupinu pro reakci na počítačové hrozby (Computer Emergency Response Team, CERT) pro instituce EU;

klíčové opatření č. 7: do roku 2010 představit opatření, včetně legislativních iniciativ, k potírání kybernetických útoků na informační systémy a do roku 2013 odpovídající pravidla o soudní příslušnosti v kyberprostoru na evropské i mezinárodní úrovni.

2.13

Ve sdělení z listopadu 2010 (KOM(2010) 673 v konečném znění) Komise tuto Agendu rozvinula definováním strategie vnitřní bezpečnosti EU. Tato strategie má pět cílů. Třetím cílem je zvýšit pro občany a podniky úroveň bezpečnosti v kyberprostoru. Jsou plánovány tyto tři akční programy a podrobnosti o jednotlivých opatřeních jsou uvedeny v následující tabulce (převzato ze sdělení, které je k dispozici na adrese http://ec.europa.eu/commission_2010-2014/malmstrom/archive/internal_security_strategy_in_action_en.pdf).

2.14

Strategie počítačové bezpečnosti definované NATO, Europolem a Evropskou komisí závisí na účinné spolupráci s členskými státy, které samy mají pestrou směsici vnitrostátních agentur zabývajících se otázkami počítačové bezpečnosti. Strategie NATO a Europolu mají být proaktivní a operativní. Ve strategii Evropské komise je agentura ENISA jednoznačně významnou součástí složitého spektra agentur a misí na ochranu kritické informační infrastruktury (CIIP). Ačkoli nové nařízení nenavrhuje, aby měla agentura ENISA operativní úlohu, EHSV stále v agentuře ENISA spatřuje agenturu primárně odpovědnou za CIIP občanské společnosti EU.

3.1

Problém, jímž se má agentura ENISA zabývat, má sedm příčin:

3.2

Návrh týkající se agentury ENISA v sobě spojuje existující ustanovení a nové iniciativy popsané v Digitální agendě pro Evropu.

3.3

Ke stávajícím politikám, jež má agentura ENISA podporovat, patří:

3.4

Agentura ENISA má podporovat tyto nové postupy vývoje:

3.5

Před dokončením tohoto návrhu bylo analyzováno pět různých politických možností. S každou možností jsou spojeny určité úkoly a zdroje. Zvolena byla třetí možnost. Tato možnost znamená rozšíření úkolů vymezených v současné době pro agenturu ENISA a doplnění donucovacích orgánů a orgánů pro ochranu soukromí jako zúčastněných stran.

3.6

Na základě možnosti 3 by modernizovaná agentura pro bezpečnost sítí a informací přispěla ke:

3.7

Na základě možnosti 3 by agentura ENISA měla k dispozici veškeré zdroje potřebné k tomu, aby své činnosti vykonávala s uspokojivou důkladností, tj. tak, aby mohla vyvíjet skutečný vliv. Pokud by agentura ENISA disponovala více zdroji (5), mohla by převzít aktivnější roli a ujmout se více iniciativ s cílem stimulovat aktivní zapojení zúčastněných stran. Tato nová situace by kromě toho umožnila pružněji a rychle reagovat na změny v neustále se vyvíjejícím prostředí bezpečnosti sítí a informací.

3.8

Politická možnost 4 doplňuje do operativních úkolů boj proti počítačovým útokům a reakci na počítačové bezpečnostní události. Kromě výše uvedených činností by agentura plnila operativní úkoly, jako je převzetí aktivnější úlohy v ochraně kritické informační infrastruktury (CIIP) v EU, např. v předcházení bezpečnostním událostem a v reakci na ně, zejména působením jako skupina pro reakci na počítačové hrozby (CERT) v oblasti bezpečnosti sítí a informací v EU a koordinováním vnitrostátních skupin CERT jako středisko EU proti útokům na bezpečnost sítí a informací, včetně běžných činností řízení a poskytování pohotovostních a záchranných služeb.

3.9

Možnost 4 by kromě dopadů na základě možnosti 3 měla větší vliv na operativní úrovni. Kdyby agentura působila jako CERT v oblasti bezpečnosti sítí a informací v EU a koordinovala vnitrostátní skupiny CERT, přispěla by k vyšším úsporám z rozsahu v reakci na bezpečnostní události v rámci celé EU a nižším provozním rizikům pro podnikání, například zásluhou vyšší úrovně bezpečnosti a odolnosti. Možnost 4 by si vyžádala značné zvýšení rozpočtu a lidských zdrojů agentury, což vyvolává obavy o její kapacitu čerpání a efektivního využívání rozpočtu ve vztahu k přínosům, jichž má být dosaženo.

3.10

Možnost politiky 5 doplňuje do operativních úkolů podporu donucovacích a justičních orgánů v boji s počítačovou trestnou činností. Kromě činností uvedených v možnosti 4 by tato možnost agentuře ENISA umožňovala:

3.11

Možnost 5 by dosáhla vyšší efektivnosti v boji s počítačovou trestnou činností než možnost 3 a 4 tím, že by do operativních úkolů byla doplněna podpora donucovacích a justičních orgánů.

3.12

Možnost 5 by si vyžádala podstatné zvýšení zdrojů agentury a i zde vznikají obavy ohledně kapacity čerpání a efektivního využívání rozpočtu.

3.13

I když by možnosti 4 a 5 měly větší pozitivní dopad než možnost 3, je Komise toho názoru, že existuje několik důvodů hovořících proti nim:

4.1

Agentura je Komisi a členským státům nápomocna při plnění právních a regulačních požadavků na bezpečnost sítí a informací.

4.2

Správní rada stanoví obecné směry činnosti agentury.

4.3

Správní rada se skládá z jednoho zástupce každého členského státu, tří zástupců jmenovaných Komisí, jednoho zástupce odvětví IKT, jednoho zástupce skupin spotřebitelů a jednoho zástupce z řad vědeckých IT odborníků.

4.4

Agenturu řídí nezávislý výkonný ředitel, jenž odpovídá za zpracování návrhu pracovního programu agentury, který předkládá ke schválení správní radě.

4.5

Výkonný ředitel dále odpovídá za zpracování návrhu ročního rozpočtu na podporu pracovního programu. Správní rada musí předkládat rozpočet a pracovní program ke schválení Komisi a členským státům.

4.6

Správní rada na návrh výkonného ředitele ustaví stálou skupinu zúčastněných stran složenou z odborníků z odvětví IKT, zástupců skupin spotřebitelů, vědeckých odborníků a zástupců donucovacích orgánů a orgánů pro ochranu soukromí.

4.7

Poněvadž je nařízení zatím ve stádiu návrhu, panuje zde určitá nejistota ohledně čísel. V současnosti agentura zaměstnává 44–50 osob a má rozpočet ve výši 8 milionů eur. Koncepčně by možnost 3 mohla znamenat zvýšení počtu zaměstnanců na 99 a navýšení rozpočtu na 17 milionů eur.

4.8

Nařízení navrhuje pevný pětiletý mandát.