15.11.2013   

DA

Den Europæiske Unions Tidende

CE 332/22

—

der henviser til sin beslutning af 5. maj 2010 om en ny digital dagsorden for Europa: 2015.eu (1),

—

der henviser til sin beslutning af 15. juni 2010 om forvaltning af internettet: de næste skridt (2),

—

der henviser til sin beslutning af 6. juli 2011 om bredbånd i Europa: investering i digitalt drevet vækst (3);

—

der henviser til forretningsordenens artikel 48;

—

der henviser til betænkning fra Udvalget om Industri, Forskning og Energi og udtalelse fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender (A7-0167/2012);

A.

der henviser til, at informations- og kommunikationsteknologierne (ikt’er) kun kan yde deres fulde bidrag til at bringe økonomien og samfundet fremad, hvis brugerne har tillid til, at de er sikre og robuste, og hvis den eksisterende lovgivning om spørgsmål som beskyttelse af personoplysninger og intellektuel ejendomsret håndhæves effektivt i internetmiljøet;

B.

der henviser til, at internettets og ikt’ernes indvirkning på diverse aspekter af borgernes liv vokser hastigt, og til, at de er afgørende drivkræfter for social interaktion, kulturel berigelse og økonomisk vækst;

C.

der henviser til, at ikt- og internetsikkerhed er et omfattende begreb med global indvirkning på økonomiske, sociale, teknologiske og militære forhold, hvorfor der kræves en klar definition og differentiering af ansvarsområderne samt en stærk international samarbejdsmekanisme;

D.

der henviser til, at formålet med EU's flagskibsinitiativ vedrørende den digitale dagsorden er at øge Europas konkurrenceevne med udgangspunkt i en styrket ikt samt at skabe betingelser for en høj og holdbar vækst og teknologibaserede job;

E.

der henviser til, at den private sektor fortsat er den primære investor, ejer og forvalter af informationssikkerhedsprodukter, tjenesteydelser, applikationer og infrastruktur med milliarder af euro investeret heri inden for det seneste årti; der henviser til, at dette engagement bør styrkes ved hjælp af passende politiske strategier til fremme af robustheden i offentligt, privat eller offentlig/privatejede eller -drevne infrastrukturer;

F.

der henviser til, at udviklingen af et højt niveau af sikkerhed og robusthed i ikt-netværk, tjenesteydelser og teknologier bør øge den europæiske økonomis konkurrenceevne, både gennem forbedring af risikovurderingen og -styringen på nettet og ved at forsyne EU's økonomi som helhed med mere robuste informationsinfrastrukturer for at støtte innovation og vækst og dermed skabe nye muligheder for, at virksomhederne kan blive mere produktive;

G.

der henviser til, at de tilgængelige data hos de retshåndhævende myndigheder angående cyberkriminalitet (som omfatter cyberangreb, men også andre typer af onlinekriminalitet) tyder på store stigninger i forskellige europæiske lande; der imidlertid også henviser til, at de statistisk repræsentative data om cyberangreb både hos de retshåndhævende myndigheder og i CERT-verdenen (it-beredskabsenhederne) fortsat er sparsomme, og at indsamlingen af disse fremover må forbedres, således at de retshåndhævende myndigheder kan gribe stærkere ind i hele EU, og således at informationsgrundlaget for den lovgivningsmæssige reaktion på de cybertrusler, der udvikler sig konstant, forbedres;

H.

der henviser til, at et passende niveau af informationssikkerhed er helt afgørende for en holdbar udvidelse af de internetbaserede tjenester;

I.

der henviser til, at de seneste hændelser, der påvirker netværkssikkerheden, afbrydelser og angreb på EU-institutionernes, erhvervslivets og medlemsstaternes informationsinfrastruktur viser, at der er behov for at indføre et robust, innovativt og effektivt system for beskyttelse af kritisk informationsinfrastruktur, som er baseret på et omfattende internationalt samarbejde og minimumsstandarder for robusthed blandt medlemsstaterne;

J.

der henviser til, at den hurtige udvikling af nye ikt-muligheder, såsom cloud computing, kræver en stærk fokusering på sikkerhed, således at det bliver muligt at høste fordelene ved de teknologiske landvindinger fuldt ud;

K.

der henviser til, at Europa-Parlamentet gentagne gange har insisteret på, at man anvender høje standarder for beskyttelse af persondata og databeskyttelse, netneutralitet og beskyttelse af den intellektuelle ejendomsret;

1.

glæder sig over medlemsstaternes gennemførelse af det europæiske program for beskyttelse af kritisk informationsinfrastruktur, herunder oprettelsen af informations- og varslingsnetværket vedrørende kritisk infrastruktur (CIWIN);

2.

mener, at indsatsen for at beskytte kritisk informationsinfrastruktur ikke blot vil øge borgernes generelle sikkerhed, men også forbedre borgernes sikkerhedsfølelse og deres tillid til regeringernes indsats for at beskytte dem;

3.

konstaterer, at Kommissionen overvejer at revidere Rådets direktiv 2008/114/EF om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (4), og anmoder om, at der tilvejebringes dokumentation for direktivets effektivitet og virkning, inden der tages yderligere skridt; opfordrer til, at det overvejes at udvide dets anvendelsesområde, særligt ved at medtage ikt-sektoren og finansielle tjenesteydelser; opfordrer endvidere til, at der tages hensyn til områder, som f.eks. sundhed, fødevare- og vandforsyningssystemer, nuklear forskning og den nukleare industri (når disse ikke er omfattet af specifikke bestemmelser); er af den opfattelse, at disse sektorer også bør nyde godt af den tværsektorielle fremgangsmåde, som CIWIN anvender (og som omfatter samarbejde, et alarmsystem og udveksling af bedste praksis);

4.

understreger betydningen af at etablere og sikre holdbar integration af den europæiske forskning med henblik på at opretholde og styrke den europæiske ekspertise inden for beskyttelse af kritisk informationsinfrastruktur;

5.

opfordrer til, at man i lyset af, at de nationale og europæiske kritiske informations-infrastrukturer hænger indbyrdes sammen og er yderst gensidigt afhængige, følsomme, strategiske og sårbare, regelmæssigt ajourfører minimumsstandarderne for at være forberedt på og kunne reagere på afbrydelser, hændelser, ødelæggelsesforsøg eller angreb som f.eks. alle dem, der følger af, at infrastrukturen ikke er robust nok, eller at slutbrugernes terminaler ikke er tilstrækkeligt sikrede;

6.

understreger vigtigheden af informationssikkerhedsstandarder og -protokoller og glæder sig over, at CEN, Cenelec og ETSI i 2011 fik mandat til at etablere sikkerheds-standarder;

7.

forventer, at ejere og operatører af kritiske informationsinfrastrukturer sætter brugerne i stand til, og om nødvendigt hjælper dem med, at benytte passende midler til at beskytte sig mod skadelige angreb og/eller forstyrrelser både gennem menneskelig og automatiseret overvågning, hvor det er påkrævet;

8.

støtter samarbejde mellem offentlige og private aktører på EU-niveau og bakker op om deres indsats for at udvikle og indføre standarder for sikkerhed og robusthed i civile (hvad enten de er offentlige, private eller offentlig-private) nationale og EU-relaterede kritiske informationsinfrastrukturer;

9.

understreger betydningen af fælleseuropæiske øvelser for at forberede aktørerne på omfattende netsikkerhedshændelser og af fastlæggelse af et enkelt sæt standarder for trusselsevaluering;

10.

opfordrer Kommission til i samarbejde med medlemsstaterne at evaluere gennemførelsen af handlingsplanen for beskyttelse af kritiske informationsinfrastrukturer; opfordrer indtrængende medlemsstaterne til at oprette velfungerende nationale/statslige CERT-enheder, udvikle nationale strategier for netsikkerhed, organisere regelmæssige nationale og fælleseuropæiske øvelser i netsikkerhedshændelser, udvikle nationale beredskabsplaner for netsikkerhedshændelser og bidrage til udviklingen af en europæisk beredskabsplan for netsikkerhedshændelser inden udgangen af 2012;

11.

anbefaler, at der indføres sikkerhedsplaner for operatørerne eller lignende foranstaltninger for alle europæiske kritiske informationsinfrastrukturer, og at der udpeges sikkerhedsforbindelsesofficerer;

12.

glæder sig over den igangværende revision af Rådets afgørelse 2005/222/RIA om angreb på informationssystemerne (5); bemærker behovet for at koordinere EU's indsats for at imødegå storstilede cyberangreb ved at inddrage kompetencerne i ENISA, medlemsstaternes CERT-enheder og de kommende europæiske CERT-enheder;

13.

mener, at ENISA kan spille en central rolle på europæisk plan i forbindelse med beskyttelse af kritisk informationsinfrastruktur ved at yde teknisk ekspertbistand til medlemsstaterne og EU's institutioner og organer samt udarbejde rapporter og analyser om sikkerheden ved informationssystemer på europæisk og globalt plan;

14.

opfordrer indtrængende ENISA til at koordinere og gennemføre årlige "måneder for bevidsthed om internetsikkerhed i EU" for at få medlemsstaterne og EU-borgerne til at fokusere specifikt på spørgsmål vedrørende internetsikkerhed;

15.

støtter - i tråd med målene for den digitale dagsorden - ENISA i udførelsen af dets opgaver med hensyn til netværksinformationssikkerhed, i særdeleshed ved at yde vejledning og rådgivning til medlemsstaterne om, hvordan de kan leve op til basiskapaciteterne for deres CERT-enheder, og ved at støtte udvekslingen af bedste praksis gennem udvikling af en ånd af tillid; opfordrer agenturet til at konsultere de relevante aktører med henblik på at få fastlagt ens forholdsregler for netværkssikkerhed for ejere og operatører af private netværk og infrastrukturer samt til at bistå Kommissionen og medlemsstaterne med at bidrage til at udvikle og indføre certificeringsordninger, adfærdsnormer og samarbejdspraksisser for informationssikkerhed blandt nationale og europæiske CERT-enheder og for ejere og operatører af infrastrukturer, når og hvor behovene opstår, ved at fastlægge teknologisk neutrale fælles minimumskrav;

16.

glæder sig over det aktuelle forslag om revision af ENISA's mandat, særlig dets forlængelse og udvidelsen af agenturets opgaver; mener, at ENISA foruden at yde bistand til medlemsstaterne i form af ekspertise og analysearbejde bør kunne forestå en række forvaltningsopgaver på EU-niveau og, i samarbejde med de amerikanske modparter, opgaver, som vedrører forebyggelse og opklaring af netværks- og informations-sikkerhedshændelser og udvidelse af samarbejdet mellem medlemsstaterne; påpeger, at agenturet i henhold til ENISA-forordningen også kan tildeles yderligere ansvar vedrørende imødegåelse af cyberangreb, i den udstrækning det tydeligvis giver merværdi til eksisterende nationale reaktionsmekanismer;

17.

glæder sig over resultaterne af de fælleseuropæiske øvelser i netværkssikkerhed, som blev afholdt i 2010 og 2011 i hele Unionen og blev overvåget af ENISA, og hvis mål var at bistå medlemsstaterne med at udforme, opretholde og afprøve en fælleseuropæisk beredskabsplan; opfordrer ENISA til at bibeholde sådanne øvelser på dagsordenen og i stigende grad inddrage relevante private operatører efter behov med henblik på at øge Europas generelle internetsikkerhedskapaciteter; imødeser en yderligere international ekspansion med ligesindede partnere;

18.

opfordrer EU-medlemsstaterne til at udarbejde nationale beredskabsplaner for netværkshændelser og medtage nøgleelementer såsom relevante kontaktpunkter, levering af bistand, indeslutning og udbedring i tilfælde af internetafbrydelser eller cyberangreb med regionale, nationale eller grænseoverskridende konsekvenser; bemærker, at medlemsstaterne også bør indføre hensigtsmæssige koordineringsmekanismer og -strukturer på nationalt plan, som kan bidrage til at sikre en bedre koordinering mellem de kompetente nationale myndigheder og sikre større sammenhæng i deres foranstaltninger;

19.

foreslår, at Kommissionen via den europæiske beredskabsplan for netsikkerhedshændelser forelægger forslag om bindende foranstaltninger til bedre koordinering på EU-plan af de nationale og statslige CERT’ers tekniske og forvaltningsmæssige funktioner;

20.

opfordrer Kommissionen og medlemsstaterne til at træffe de nødvendige foranstaltninger for at beskytte kritisk infrastruktur mod cyberangreb og gøre det muligt at afskære adgangen til en kritisk infrastruktur, hvis et direkte cyberangreb udgør en alvorlig trussel mod dens funktionsevne;

21.

ser frem til en fuldstændig gennemførelse af CERT-EU, som bliver en nøglefaktor i forebyggelsen og opklaringen af samt beredskabet mod og genopretningen efter tilsigtede og skadevoldende cyberangreb, der har EU-institutionerne som mål;

22.

anbefaler, at Kommissionen forelægger forslag til bindende foranstaltninger med henblik på at indføre minimumsstandarder om sikkerhed og robusthed og forbedre koordineringen mellem de nationale CERT-enheder;

23.

opfordrer medlemsstaterne og EU-institutionerne til at sikre eksistensen af velfungerende CERT-enheder, som har en minimumskapacitet med hensyn til sikkerhed og robusthed på grundlag af alment accepteret bedste praksis; påpeger, at de nationale CERT-enheder bør indgå i et effektivt netværk, hvori der udveksles relevante informationer i overensstemmelse med de nødvendige standarder for fortrolighed; opfordrer til, at der for hver medlemsstat oprettes en 24/7-døgnvagt i forbindelse med beskyttelsen af kritisk informationsinfrastruktur, samt at der indføres en fælles europæisk nødprotokol, som skal gælde mellem de nationale kontaktpunkter;

24.

understreger, at det er afgørende for beskyttelsen af data og de nationale netværk og infrastrukturer, at der opbygges tillid og samarbejde mellem medlemsstaterne; opfordrer Kommissionen til at foreslå en fælles procedure for identifikation og præcisering af en fælles fremgangsmåde for håndteringen af grænseoverskridende ikt-trusler, idet det forventes, at medlemsstaterne forsyner Kommissionen med generiske informationer om risici, trusler og sårbare punkter i deres kritiske informationsinfrastruktur;

25.

glæder sig over Kommissionens initiativ til at udvikle et europæisk informations-udvekslings- og varslingssystem inden 2013;

26.

glæder sig over de forskellige interessenthøringer om internetsikkerhed og handlingsplanen for kritisk informationsinfrastruktur, som Kommissionen har indledt, f.eks. det europæiske offentlig-private partnerskab for en robust infrastruktur; anerkender ikt-leverandørernes allerede betydelige involvering og engagement i disse bestræbelser og opfordrer Kommissionen til at gøre en yderligere indsats for at tilskynde det akademiske miljø og sammenslutninger af ikt-brugere til at spille en mere aktiv rolle og fremme en konstruktiv dialog mellem flere interessenter om spørgsmål vedrørende internetsikkerhed; bakker op om en videreudvikling af mødet om den digitale dagsorden som en ramme om administrationen af den kritiske informationsinfrastruktur;

27.

glæder sig over det arbejde, som det europæiske forum af medlemsstater hidtil har udført med at fastlægge sektorspecifikke kriterier for identifikation af europæiske kritiske infrastrukturer med fokus på fastnet- og mobilkommunikation og med at drøfte EU-principper og -retningslinjer for et robust og stabilt internet; ser frem til fortsat konsensusskabelse blandt medlemsstaterne og opfordrer i denne forbindelse forummet til at supplere den nuværende model, som er fokuseret på fysiske aktiver, med bestræbelser på også at inddrage aktiver i form af logiske infrastrukturer, der med udviklingen af virtualisering og cloud-teknologier vil blive mere og mere relevante for, hvor effektiv beskyttelsen af den kritiske informationsinfrastruktur er;

28.

foreslår, at Kommissionen lancerer et offentligt fælleseuropæisk uddannelsesinitiativ rettet mod uddannelse og øget bevidsthed hos både private og virksomhedslutbrugere om potentielle trusler på internettet og fast og mobilt ikt-udstyr på alle niveauer i forsyningskæden samt mod at fremme en mere sikker individuel onlineadfærd; minder i denne forbindelse om de risici, der er forbundet med forældet it-udstyr og software;

29.

opfordrer medlemsstaterne til med støtte fra Kommissionen at styrke undervisnings- og uddannelsesprogrammerne om informationssikkerhed rettet mod den nationale retshåndhævelse og de nationale juridiske myndigheder samt de relevante EU-agenturer;

30.

understøtter oprettelsen af en EU-undervisningsplan for akademiske eksperter inden for informationssikkerhed, da dette vil indvirke positivt på EU's ekspertise og beredskab med hensyn til det konstant voksende cyberspace og truslerne mod det;

31.

gør sig til fortaler for fremme af uddannelse i cybersikkerhed (praktikordninger for ph.d.-studerende, universitetskurser, workshopper, kurser for studerende osv.) og specialiserede øvelser i beskyttelse af kritisk informationsinfrastruktur;

32.

opfordrer Kommissionen til senest ved udgangen af 2012 at foreslå en omfattende strategi for internetsikkerhed for Unionen baseret på terminologi, der ikke er til at tage fejl af; er af den opfattelse, at internetsikkerhedsstrategien bør sigte mod at skabe et cyberspace (understøttet af en sikker og robust infrastruktur og åbne standarder), som er befordrende for innovation og velstand gennem fri informationsudveksling, men som samtidig sikrer solid beskyttelse af privatlivet og andre borgerrettigheder; fastholder, at strategien bør udspecificere de principper, mål, metoder, instrumenter og politikker (både interne og eksterne), der er nødvendige for at strømline nationale indsatser og EU’s indsats, og fastsætte minimumsstandarder for robusthed medlemsstaterne imellem for at sikre en sikker, stabil, solid og robust service, uanset om det er i forbindelse med kritisk infrastruktur eller generel brug af internettet;

33.

understreger, at Kommissionens kommende strategi for internetsikkerhed bør tage udgangspunkt i det arbejde, der er gjort inden for beskyttelse af kritisk informationsinfrastruktur, og sigte mod en helhedsorienteret og systematisk tilgang til cybersikkerhed ved at inkludere både proaktive foranstaltninger, såsom indførelse af minimumsstandarder for sikkerhedsforanstaltninger eller undervisning af individuelle brugere, virksomheder og offentlige institutioner, og reaktive foranstaltninger, såsom strafferetlige, civilretlige og administrative sanktioner;

34.

opfordrer indtrængende Kommissionen til at foreslå en robust mekanisme med henblik på at koordinere gennemførelsen og en regelmæssig opdatering af strategien for internetsikkerhed; er af den opfattelse, at denne mekanisme bør understøttes af tilstrækkelige administrative og økonomiske ressourcer og eksperter og have kompetence til at fremme fastlæggelsen af EU's standpunkter i forbindelserne med både interne og internationale aktører i spørgsmål om internetsikkerhed;

35.

opfordrer Kommissionen til at foreslå en EU-ramme for anmeldelse af brud på sikkerheden inden for kritiske sektorer, som f.eks. energi, transport, vand- og fødevareforsyning, samt inden for sektorerne informations- og kommunikationsteknologier og finansielle tjenesteydelser med henblik på sikre, at relevante myndigheder i medlemsstaterne og brugere informeres om hændelser, der påvirker netsikkerheden, samt om cyberangreb og afbrydelser;

36.

opfordrer indtrængende Kommissionen til at forbedre adgangen til statistisk repræsentative data om omkostningerne ved cyberangreb i EU, medlemsstaterne og erhvervslivet (særlig finanssektoren og ikt-sektoren) ved at forbedre dataindsamlingskapaciteten i det planlagte europæiske cyberkriminalitetscenter (som skal etableres senest i 2013), CERT-enhederne og andre initiativer fra Kommissionens side, såsom det europæiske informationsudvekslings- og varslingssystem, med henblik på at sikre en systematisk rapportering og udveksling af data om cyberangreb og andre former for cyberkriminalitet, der påvirker Europas erhvervsliv og medlemsstaterne, og derved styrke retshåndhævelsen;

37.

går ind for et tæt forhold og samspil mellem de nationale private sektorer og ENISA med henblik på at sammenkoble udviklingen af de landsdækkende/statslige CERT-enheder med udviklingen af Det Europæiske Informationsudvekslings- og Varslingssystem (EISAS);

38.

påpeger, at den primære drivkraft bag udviklingen og brugen af teknologier til forbedring af internetsikkerheden er ikt-branchen; erindrer om, at EU's politikker skal undgå at hæmme væksten i den europæiske internetøkonomi og skal omfatte de nødvendige incitamenter til at udnytte potentialet inden for erhvervslivet og i offentlig-private partnerskaber fuldt ud; anbefaler, at der søges efter yderligere incitamenter til erhvervslivet med henblik på at udvikle mere robuste sikkerhedsplaner i henhold til 2008/114/EF;

39.

opfordrer Kommissionen til at forelægge et lovgivningsmæssigt forslag om yderligere kriminalisering af cyberangreb ((spear-phishing, onlinebedrageri osv.);

40.

erindrer om, at internationalt samarbejde er det centrale instrument for indførelsen af effektive foranstaltninger for internetsikkerhed; erkender, at EU i øjeblikket ikke løbende er aktivt involveret i internationale samarbejdsprocesser og dialoger vedrørende internetsikkerhed; opfordrer Kommissionen og Tjenesten for EU's Optræden Udadtil (EU-Udenrigstjenesten) til at indlede en konstruktiv dialog med alle ligesindede lande for at nå frem til en fælles forståelse og politikker med henblik på at gøre internettet og den kritiske infrastruktur mere robust; fastholder, at EU samtidig - og løbende - bør inddrage spørgsmålet om internetsikkerhed i sine forbindelser med tredjelande, bl.a. i forbindelse med udformning af forskellige finansieringsinstrumenter eller ved indgåelse af internationale aftaler, som involverer udveksling og opbevaring af følsomme data;

41.

noterer sig de positive resultater af Europarådets Budapestkonvention om it-kriminalitet fra 2001; påpeger imidlertid, at EU-Udenrigstjenesten, samtidig med at den opfordrer flere lande til at undertegne og ratificere konventionen, også bør etablere bilaterale og multilaterale aftaler om internetsikkerhed og -robusthed med ligesindede internationale partnere;

42.

påpeger, at det enorme antal igangværende aktiviteter, der gennemføres af forskellige internationale og EU-institutioner, -enheder og -agenturer samt af medlemsstaterne, kræver koordination for at undgå overlapning, hvorfor det er værd at overveje at udpege en officielt ansvarlig for koordination, eventuelt gennem udpegning af en EU-internetsikkerhedskoordinator.

43.

understreger, at en struktureret dialog mellem de vigtigste aktører og lovgivere fra EU og USA, som beskæftiger sig med beskyttelse af kritisk informationsinfrastruktur, er særligt vigtig med henblik på at fastlægge en fælles forståelse, fortolkning af og holdning til retlige og forvaltningsmæssige rammer;

44.

glæder sig over, at man på topmødet mellem EU og USA i november 2010 oprettede EU-USA-arbejdsgruppen om internetsikkerhed og internetkriminalitet og støtter dens bestræbelser på at inddrage spørgsmålene om internetsikkerhed i den transatlantiske politiske dialog; glæder sig over, at Kommissionen og USA’s regering inden for rammerne af EU-USA-arbejdsgruppen sammen har etableret et fælles program og en køreplan for fælles/synkroniserede transkontinentale it-beredskabsøvelser i 2012/2013;

45.

foreslår, at der etableres en struktureret dialog mellem lovgiverne i EU og USA, hvor man kan drøfte internetrelaterede spørgsmål som led i bestræbelserne på at nå frem til en fælles forståelse, en fælles tolkning og en fælles holdning;

46.

opfordrer indtrængende EU-Udenrigstjenesten og Kommissionen til på grundlag af det arbejde, som det europæiske forum af medlemsstater har udført, at sørge for, at EU indtager en aktiv position i de relevante internationale fora, bl.a. ved at koordinere medlemsstaternes holdninger med henblik på at fremme EU's kerneværdier, mål og politikker vedrørende internetsikkerhed og robusthed; bemærker, at sådanne fora omfatter NATO, FN (navnlig gennem Den Internationale Telekommunikationsunion og Internet Governance Forum), Internet Corporation for Assigned Names and Numbers, Internet Assigned Numbers Authority, OSCE, OECD og Verdensbanken;

47.

tilskynder Kommissionen og ENISA til at deltage i dialogerne mellem de vigtigste aktører for at definere tekniske og juridiske cyberspacenormer på internationalt plan;

48.

pålægger sin formand at sende denne beslutning til Rådet og Kommissionen.