Stanovisko Evropského hospodářského a sociálního výboru k návrhu nařízení Evropského parlamentu a Rady, kterým se zřizuje Evropské průmyslové, technologické a výzkumné centrum kompetencí pro kybernetickou bezpečnost a síť národních koordinačních center

(COM(2018) 630 final — 2018/0328 (COD))

(2019/C 159/10)

Zpravodaj: Antonio LONGO

Spoluzpravodaj: Alberto MAZZOLA

Konzultace	Evropská rada, 5. 10. 2018 Evropský parlament, 1. 10. 2018
Právní základ	čl. 173 odst. 3 a články 188 a 304 Smlouvy o fungování Evropské unie
Odpovědná specializovaná sekce	Doprava, energetika, infrastruktura a informační společnost
Přijato ve specializované sekci	9. 1. 2019
Přijato na plenárním zasedání	23. 1. 2019
Plenární zasedání č.	540
Výsledek hlasování (pro/proti/zdrželi se hlasování)	143/5/2

1.   Závěry a doporučení

1.1.

Evropský hospodářský a sociální výbor (EHSV) vítá iniciativu Komise, kterou považuje za přínosnou pro vypracování průmyslové strategie v oblasti kybernetické bezpečnosti a za strategickou pro dosažení stabilní a rozsáhlé digitální autonomie. Tyto faktory mají zcela zásadní význam pro posílení mechanismů obrany Evropy vůči probíhající kybernetické válce, která může ohrozit politické, hospodářské a sociální systémy.

1.2.

Výbor podotýká, že žádná strategie týkající se kybernetické bezpečnosti nemůže opomíjet širokou osvětu a bezpečné chování všech uživatelů.

1.3.

Výbor souhlasí s obecnými cíli návrhu a je si vědom toho, že konkrétní aspekty fungování budou posouzeny v další fázi. Nicméně vzhledem k tomu, že jde o nařízení, se domnívá, že by některé citlivé aspekty týkající se správy, financování a dosažení stanovených cílů měly být definovány předem. Je důležité, aby budoucí síť a centrum v co největší míře vycházely z kybernetických dovedností a odborných znalostí jednotlivých členských států a aby v nově zřízeném centru nedošlo ke koncentraci pravomocí. Dále je třeba zajistit, aby se činnost budoucí sítě a centra nepřekrývala s existujícími mechanismy pro spolupráci a orgány.

1.4.

EHSV podporuje rozšíření spolupráce na průmysl – tím, že bude v budoucnu zapojen do správní rady –, a to na základě pevných závazků v oblasti vědy a investic. V případě třístranné spolupráce mezi Evropskou komisí, členskými státy a průmyslem by měla být přítomnost podniků ze zemí mimo EU omezena na ty, které na evropské půdě působí už dlouho a tvoří pevnou součást evropské průmyslové a technologické základny, za předpokladu, že budou náležitě sledovány a kontrolovány a budou dodržovat zásadu vzájemnosti a povinnost zachovávání důvěrnosti.

1.5.

Kybernetická bezpečnost musí být společným závazkem všech členských států, jež proto musí být zapojeny do správní rady, a to způsobem, který bude určen. Pokud jde o finanční příspěvek členských států, je možné čerpat z finančních prostředků EU určených pro každý z nich.

1.6.

V návrhu by mělo být jasněji uvedeno, jakou bude mít centrum možnost zasahovat do koordinace financování programů Digitální Evropa a Horizont Evropa, a především podle jakých pokynů budou formulovány a přidělovány případné veřejné zakázky. To je nezbytné k zabránění duplicitám nebo překrývání. V zájmu zvýšení finančního krytí se navíc doporučuje rozšířit synergie s jinými finančními nástroji EU (např. regionální fondy, strukturální fondy, Nástroj pro propojení Evropy, ERF, InvestEU...).

1.7.

EHSV považuje za nezbytné stanovit způsoby spolupráce a vztahy mezi evropským centrem a národními centry. Dále je důležité, aby byla národní centra financována z prostředků EU, alespoň pokud jde o administrativní náklady, aby se usnadnila harmonizace správních postupů a odborných znalostí a zmenšila se tak propast mezi členskými státy EU.

1.8.

Výbor vyzdvihuje význam lidského kapitálu a doufá, že centrum kompetencí bude moci ve spolupráci s vysokými školami, výzkumnými středisky a zařízeními vyššího vzdělávání podporovat špičkové vzdělávání a odbornou přípravu, mj. prostřednictvím specifických vzdělávacích programů na vysokých a středních školách. Stejně tak je nezbytné poskytnout zvláštní podporu začínajícím podnikům a malým a středním podnikům.

1.9.

EHSV se domnívá, že je nezbytné lépe vyjasnit příslušné oblasti působnosti a hranice mezi mandátem centra a Agentury Evropské unie pro bezpečnost sítí a informací (ENISA), přičemž je nutné jasně definovat způsoby spolupráce a vzájemné podpory a zamezit překrývání pravomocí a duplicitě činnosti. Podobné problémy vznikají i u jiných orgánů, které se zabývají počítačovou bezpečností, jako je Evropská obranná agentura (EDA), EUROPOL a CERT-EU, a doporučuje se vytvořit další mechanismy pro strukturovaný dialog mezi různými orgány.

2.   Stávající rámec kybernetické bezpečnosti

2.1.

Kybernetická bezpečnost je jedním z nejdůležitějších témat v rámci agendy EU, neboť jde o nepostradatelný faktor obrany institucí, podniků a občanů a o nezbytný nástroj k zachování demokracie. Jedním z nejvíce znepokojivých jevů je exponenciální nárůst škodlivého softwaru (malware) šířeného v síti prostřednictvím automatických systémů, který se z počtu 130 tisíc v roce 2007 zvýšil na 8 milionů v roce 2017. Unie je navíc čistým dovozcem produktů a řešení v oblasti kybernetické bezpečnosti, což vyvolává obavy ohledně hospodářské konkurenceschopnosti a civilní a vojenské bezpečnosti.

2.2.

Přestože EU disponuje značnými odbornými znalostmi a zkušenostmi v oblasti kybernetické bezpečnosti, je činnost tohoto odvětví, vysokých škol a výzkumných středisek stále ještě roztříštěná, nedostatečně sladěná a chybí jí společná strategie rozvoje. To je způsobeno skutečností, že nejsou dostatečně podporovány příslušné sektory kybernetické bezpečnosti (např. energetika, vesmír, obrana a doprava) a ani se nevyužívají synergie mezi civilní a obrannou kybernetickou bezpečností.

2.3.

S cílem čelit rostoucím výzvám stanovila Unie v roce 2013 strategii kybernetické bezpečnosti na podporu spolehlivého, bezpečného a otevřeného kybernetického ekosystému (1). Následně byla v roce 2016 přijata první konkrétní opatření k bezpečnosti sítí a informačních systémů (2). To nakonec vyústilo ve vytvoření partnerství veřejného a soukromého sektoru v oblasti kybernetické bezpečnosti.

2.4.

Ve sdělení Odolnost, odrazování a obrana: budování silné kybernetické bezpečnosti pro EU (3) z roku 2017 se uvádí, že je třeba zajistit zachování a rozvoj důležitých technických kapacit v oblasti kybernetické bezpečnosti, aby bylo možné zajistit bezpečnost jednotného digitálního trhu, a zejména chránit kritické sítě a informační systémy a poskytovat klíčové služby v oblasti kybernetické bezpečnosti.

2.5.

Unie proto musí být schopna sama zabezpečit svá digitální aktiva a procesy a být konkurenceschopná na celosvětovém trhu kybernetické bezpečnosti, dokud nedosáhne spolehlivé a rozsáhlé digitální autonomie (4).

3.   Návrhy Komise

3.1.

Cílem centra kompetencí („centrum“) bude usnadnit a koordinovat práci sítě národních center a podporovat komunitu kompetencí pro kybernetickou bezpečnost, aktivně prosazovat agendu technologií kybernetické bezpečnosti a usnadňovat přístup k takto shromážděným odborným znalostem.

3.2.

Za tímto účelem bude centrum zejména provádět příslušné části programů Digitální Evropa a Horizont Evropa, a to přidělováním grantů a zadáváním veřejných zakázek. S ohledem na značné investice do kybernetické bezpečnosti vynakládané v jiných částech světa a na potřebu koordinovat a sdružit v Evropě příslušné prostředky je navrhovanou formou centra kompetencí evropské partnerství s dvojím právním základem, čímž se usnadní společné investice ze strany Unie, členských států a/nebo průmyslu.

3.3.

Návrh vyžaduje, aby členské státy přispěly na akce centra kompetencí a sítě souměřitelnou částkou. Předpokládaný příděl finančních prostředků od EU činí přibližně 2 miliardy EUR z programu Digitální Evropa. Částku z programu Horizont Evropa je nutné ještě vyčíslit. Celkový příspěvek členských států má odpovídat alespoň příspěvku Unie.

3.4.

Hlavním rozhodovacím orgánem je správní rada, v níž jsou zastoupeny všechny členské státy, ale hlasovací práva mají pouze členské státy, které se účastní finančně. Mechanismus hlasování se řídí zásadou dvojí většiny, která vyžaduje 75 % finančních příspěvků a 75 % hlasů. Komise má 50 % hlasů. Centru je nápomocna průmyslová a vědecká poradní rada, která zajišťuje dialog s podniky, spotřebiteli a dalšími relevantními zúčastněnými stranami.

3.5.

Centrum by úzce spolupracovalo se sítí národních koordinačních center a komunitou kompetencí pro kybernetickou bezpečnost a bylo by hlavním prováděcím subjektem pro finanční prostředky EU určené na kybernetickou bezpečnost v rámci navrhovaného programu Digitální Evropa a programu Horizont Evropa.

3.6.

Národní koordinační centra budou vybrána členskými státy. Centra musí disponovat odbornými technickými znalostmi v oblasti kybernetické bezpečnosti nebo k nim mít přímý přístup, zejména v odvětvích, jako jsou kryptografie, bezpečnostní služby IKT, automatická detekce narušení, bezpečnost systémů, bezpečnost sítí, bezpečnost softwaru a aplikací nebo lidské a sociální aspekty bezpečnosti a soukromí. Rovněž by měla mít kapacitu k efektivní práci a koordinaci s průmyslem, veřejným sektorem, včetně orgánů určených podle směrnice č. 2016/1148.

4.   Obecné připomínky

4.1.

EHSV vítá iniciativu Komise a považuje ji za strategickou pro rozvoj kybernetické bezpečnosti v souladu s rozhodnutími přijatými na summitu v Tallinnu v září 2017. Hlavy států a předsedové vlád při této příležitosti požadovali, že je třeba z Unie „do roku 2025 učinit vedoucí sílu v oblasti kybernetické bezpečnosti, abychom zajistili důvěru, jistotu a ochranu našich občanů, spotřebitelů a podniků online a umožnili svobodný internet respektující právo“.

4.2.

EHSV připomíná, že probíhá skutečná kybernetická válka, která může ohrozit politické, hospodářské a sociální systémy útokem na počítačové systémy institucí, kritické infrastruktury (energetika, doprava, banky a finanční instituce...) a podniky a také obecným ovlivňováním volebních a demokratických procesů prostřednictvím falešných zpráv (5). Proto je zapotřebí důkladná informovanost a rozhodná a včasná reakce. Nezbytným předpokladem pro dosažení digitální autonomie je z těchto důvodů vytvoření jasné a dobře podporované průmyslové strategie kybernetické bezpečnosti. EHSV se domnívá, že pracovní program by měl upřednostňovat oblasti určené směrnicí 2016/1148, která se vztahuje na společnosti poskytující základní služby, ať již veřejné, nebo soukromé, a to z důvodu jejich významu pro společnost (6).

4.3.

Výbor podotýká, že žádná strategie týkající se kybernetické bezpečnosti nemůže opomíjet širokou osvětu a bezpečné chování všech uživatelů. Z tohoto důvodu musí každou technologickou iniciativu doprovázet náležité informační a osvětové kampaně s cílem vytvořit „kulturu digitální bezpečnosti“ (7).

4.4.

Výbor souhlasí s obecnými cíli návrhu a je si vědom toho, že konkrétní aspekty fungování budou posouzeny v další fázi. Nicméně vzhledem k tomu, že jde o nařízení, se domnívá, že by některé citlivé aspekty týkající se správy, financování a dosažení stanovených cílů měly být definovány předem. Je důležité, aby budoucí síť a centrum v co největší míře vycházely z kybernetických dovedností a odborných znalostí jednotlivých členských států a aby v nově zřízeném centru nedošlo ke koncentraci pravomocí. Dále je třeba zajistit, aby se činnost budoucí sítě a centra nepřekrývala s existujícími mechanismy pro spolupráci a orgány.

4.5.

EHSV připomíná, že ve svém stanovisku TEN/646 k aktu o kybernetické bezpečnosti (8) navrhl třístrannou spolupráci mezi Evropskou komisí, členskými státy a průmyslem – včetně malých a středních podniků – v rámci partnerství veřejného a soukromého sektoru, zatímco stávající struktura, jejíž právní formu je třeba propracovat, v zásadě stanoví partnerství v rámci veřejného sektoru mezi Evropskou komisí a členskými státy.

4.6.

EHSV podporuje rozšíření spolupráce na průmysl – tím, že bude v budoucnu zapojen do správní rady –, a to na základě pevných závazků v oblasti vědy a investic. Zřízení průmyslové a vědecké poradní rady nemusí být zárukou stálého dialogu s podniky, spotřebiteli a dalšími relevantními zúčastněnými stranami. V novém kontextu vypracovaném Komisí navíc není jasné, jakou roli bude mít Evropská organizace pro kybernetickou bezpečnost (ECSO) vytvořená z podnětu Komise v červnu roku 2016 jako její partner, jejíž kapitál z hlediska sítí a znalostí by se neměl promarnit.

4.6.1.

V případě třístranné spolupráce je důležité věnovat pozornost společnostem ze třetích zemí. EHSV zejména zdůrazňuje, že by se spolupráce měla opírat o důsledně uplatňovaný mechanismus zabraňující přítomnosti společností ze zemí mimo EU, které by mohly ohrozit bezpečnost a autonomii Unie. V této souvislosti by se měla rovněž uplatnit příslušná ustanovení definovaná v Evropském programu rozvoje obranného průmyslu (9).

4.6.2.

EHSV zároveň uznává, že některé společnosti, které pocházejí ze zemí mimo EU a které v Evropě působí již dlouhou dobu a jsou pevnou součástí evropské průmyslové a technologické základny, by mohly být pro projekty EU velmi užitečné a měly by k nim mít přístup za předpokladu, že členské státy zavedou vhodné mechanismy pro jejich sledování a kontrolu, a pod podmínkou dodržování zásady vzájemnosti a důvěrnosti.

4.7.

Kybernetická bezpečnost musí být společným závazkem všech členských států, jež proto musí být zapojeny do správní rady, a to způsobem, který bude určen. Je rovněž důležité, aby všechny státy k iniciativě Komise náležitě finančně přispěly. Pokud jde o finanční příspěvek členských států, je možné čerpat z finančních prostředků EU určených pro každý z nich.

4.8.

EHSV souhlasí s tím, že každý členský stát může do správní rady evropského centra kompetencí jmenovat svého vlastního zástupce. Výbor doporučuje, aby byly jasně definovány profily národních představitelů a strategické a technologické dovednosti se propojily s manažerskými, administrativními a rozpočtovými.

4.9.

V návrhu by mělo být jasněji uvedeno, jakou bude mít centrum možnost zasahovat do koordinace financování programů Digitální Evropa a Horizont Evropa, což je dosud předmětem jednání, a především podle jakých pokynů budou formulovány a přidělovány případné veřejné zakázky. To je nezbytné k zabránění duplicitám nebo překrývání. V zájmu zvýšení finančního krytí se navíc doporučuje rozšířit synergie s jinými finančními nástroji EU (např. regionální fondy, strukturální fondy, Nástroj pro propojení Evropy, ERF, InvestEU). Výbor doufá, že do správy a koordinace finančních prostředků bude zapojena síť národních center.

4.10.

EHSV poukazuje na to, že poradní rada by měla mít 16 členů a že nejsou jasně stanoveny mechanismy, s jejichž pomocí by měly být zapojeny podniky, vysoké školy, výzkumní pracovníci a spotřebitelé. Výbor je toho názoru, že by bylo užitečné a vhodné, aby členové této rady disponovali rozsáhlými znalostmi v tomto oboru a aby vyváženým způsobem reprezentovali jednotlivé dotčené sektory.

4.11.

EHSV považuje za důležité stanovit způsoby spolupráce a vztahy mezi evropským centrem a národními centry. Dále je důležité, aby byla národní centra financována z prostředků EU, alespoň pokud jde o administrativní náklady, aby se usnadnila harmonizace správních postupů a odborných znalostí a zmenšila se tak propast mezi členskými státy EU.

4.12.

EHSV v souladu se svými předchozími stanovisky (10) zdůrazňuje důležitost špičkového vzdělávání a odborné přípravy lidských zdrojů v oblasti kybernetické bezpečnosti, mj. prostřednictvím specifických školních, vysokoškolských a postgraduálních kurzů. Rovněž je důležité poskytnout odpovídající finanční podporu malým a středním podnikům a začínajícím podnikům v tomto odvětví (11), které jsou nezbytné pro rozvoj špičkového výzkumu.

4.13.

EHSV se domnívá, že je nezbytné lépe vyjasnit příslušné oblasti působnosti a hranice mezi mandátem centra a agentury ENISA, přičemž je nutné jasně definovat způsoby spolupráce a vzájemné podpory a zamezit překrývání pravomocí a duplicitě činnosti (12). Návrh nařízení předpokládá přítomnost delegáta ENISA jako stálého pozorovatele ve správní radě, nicméně jeho přítomnost není zárukou strukturovaného dialogu mezi oběma subjekty. Podobné problémy vznikají i u jiných orgánů, které se zabývají kybernetickou bezpečností, jako je Evropská obranná agentura (EDA), EUROPOL a CERT-EU. Z tohoto hlediska je zajímavé memorandum o porozumění, které v květnu roku 2018 podepsaly agentury ENISA, EDA, EUROPOL a skupina CERT-EU.

---

(1)  JOIN(2013) 1 final.

(2)  Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 194, 19.7.2016, s. 1).

(3)  JOIN(2017) 450 final.

(4)  Úř. věst. C 227, 28.6.2018, s. 86.

(5)  Informační zpráva Využití sdělovacích prostředků k ovlivňování společenských a politických procesů v EU a ve východních sousedních zemích, zpravodajka: paní Vareikytė, 2014.

(6)  Úř. věst. C 227, 28.6.2018, s. 86.

(7)  Úř. věst. C 227, 28.6.2018, s. 86.

(8)  Úř. věst. C 227, 28.6.2018, s. 86.

(9)  COM(2017) 294.

(10)  Úř. věst. C 451, 26.11.2014, s. 64.

(11)  Úř. věst. C 227, 28.6.2018, s. 86.

(12)  Úř. věst. C 227, 28.6.2018, s. 86.