10.3.2017   

DA

Den Europæiske Unions Tidende

C 75/124

Ordfører:

Thomas McDONOGH

1.1.

Udvalget bifalder Kommissionens meddelelse om Styrkelse af Europas system for modstandsdygtighed over for cyberangreb og fremme af en konkurrencedygtig og innovativ cybersikkerhedsindustri. Udvalget er ligesom Kommissionen bekymret for Europas fortsatte sårbarhed over for cyberangreb og gør opmærksom på, at mindst 80 % af de europæiske virksomheder har oplevet mindst én cybersikkerhedshændelse inden for det seneste år, og at antallet af sikkerhedshændelser på tværs af alle industrier på verdensplan steg med 38 % i 2015 (»The Global State of Information Security Survey 2016«, PWC). Udvalget er enigt med Kommissionen i, at der er behov for en række foranstaltninger til styrkelse af Europas system for modstandsdygtighed over for cyberangreb og fremme af en konkurrencedygtig og innovativ cybersikkerhedsindustri i Europa.

1.2.

Udvalget bifalder især dette forslag på baggrund af det nyligt vedtagne direktiv om net- og informationssikkerhed (NIS-direktivet) (1), som har til formål at harmonisere tilgangen til cybersikkerhed i EU, og den bredere EU-strategi for cybersikkerhed (2), som beskriver den nuværende vision om, hvordan man bedst kan forebygge og imødegå cybersammenbrud og -angreb, yderligere fremme europæiske værdier som frihed og demokrati og sikre, at den digitale økonomi kan vokse på sikker vis.

1.3.

EØSU er enigt i, at der er behov for omfattende foranstaltninger til yderligere at beskytte Europas vitale digitale infrastruktur og tjenester mod sikkerhedstrusler og kan med tilfredshed konstatere, at de foreslåede foranstaltninger i høj grad vil medvirke til gennemførelsen af mange af de anbefalinger, som udvalget har fremsat i adskillige tidligere udtalelser (3) om forbedring af cybersikkerhed i hele EU.

1.4.

EØSU konstaterer med tilfredshed, at Kommissionen har indgået det kontraktlige offentlig-private partnerskab (OPP) om cybersikkerhed, som forventes at frigøre 1,8 mia. EUR til investeringer i EU's cybersikkerhedsindustri med henblik på at fremme samarbejde tidligt i forsknings- og innovationsprocessen og skabe cybersikkerhedsløsninger for forskellige sektorer, f.eks. energi-, sundheds-, transport- og finanssektoren. Udvalget ser især gerne, at dette kontraktlige OPP anvendes til at støtte udviklingen af opstartende cybersikkerhedsvirksomheder i EU.

1.5.

Udvalget bifalder, at Kommissionen vil evaluere behovet for at ændre eller udvide mandatet for Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA) inden udgangen af 2017 og ser frem til at blive hørt om dette af Kommissionen. EØSU mener, at enhver udvidelse af ENISA's mandat bør give agenturet en større operationel rolle, så det mere effektivt kan øge bevidstgørelsen om og evnen til at reagere på cyberangreb i hele EU, samt et mere direkte ansvar for undervisning i cybersikkerhed og oplysningsprogrammer, som navnlig er målrettet borgere samt små og mellemstore virksomheder (SMV'er).

1.6.

For at sikre det nødvendige lederskab og den nødvendige integration på EU-niveau til håndtering af den komplekse gennemførelse af en effektiv europæisk cybersikkerhedspolitik, beder udvalget Kommission om at vurdere muligheden for ændre ENISA's status til et EU-agentur for cybersikkerhed svarende til Det Europæiske Luftfartssikkerhedsagentur (EASA). Hvis denne mandatændring for ENISA ikke kan lade sig gøre, vil EØSU anbefale, at der oprettes en sådan helt ny myndighed.

1.7.

EØSU opfordrer Kommissionen til at oprette en national model for udvikling af cybersikkerhed og et ratingsystem i lighed med modellen »Capability Maturity Model« (CMM) i IT-industrien med henblik på objektivt at måle den enkelte medlemsstats modstandsdygtighed over for cyberangreb.

1.8.

Udvalget bemærker, at Kommissionen vil overveje behovet for i nær fremtid at opdatere EU-strategien for cybersikkerhed fra 2013 og ser frem til at blive hørt rettidigt om Kommissionens betragtninger.

1.9.

I betragtning af, hvor vigtig cybersikkerhed er, og af den stadig større trussel om cyberkriminalitet opfordrer EØSU til, at Det Europæiske Center til Bekæmpelse af IT-Kriminalitet ved Europol og Det Europæiske Forsvarsagentur tildeles tilstrækkelige midler og ressourcer.

1.10.

I lyset af, hvor vigtigt det er at beskytte borgernes personlige oplysninger, som lagres af institutioner og agenturer i den offentlige administration, opfordrer udvalget til, at ansatte i den offentlige administration tilbydes særlig undervisning i informationsstyring, databeskyttelse og cybersikkerhed.

1.11.

Ud fra en helhedsbetragtning om at beskytte EU mod cyberkriminalitet og cyberangreb og opbygge en stærk cybersikkerhedsindustri i Europa mener EØSU, at EU's cybersikkerhedsstrategi og -politik bør indeholde følgende punkter: et stærkt EU-lederskab, cybersikkerhedspolitikker, der både forbedrer sikkerheden og respekterer retten til privatliv og andre grundlæggende rettigheder, øget bevidstgørelse blandt borgerne og tilskyndelse til proaktive beskyttelsesforanstaltninger, omfattende styring på medlemsstatsplan, en informeret og ansvarlig indsats fra virksomhedernes side, tætte partnerskaber mellem regeringerne, den private sektor og borgerne, passende investeringsniveauer, gode tekniske standarder og tilstrækkelige investeringer i forskning, udvikling og innovation samt internationalt engagement.

2.1.

Kommissionen fremlægger foranstaltninger, der sigter mod at styrke Europas system for modstandsdygtighed over for cyberangreb og fremme en konkurrencedygtig og innovativ cybersikkerhedsindustri i Europa, som anført i EU-strategien for cybersikkerhed og i strategien for et digitalt indre marked.

2.2.

I den forbindelse bygger de foranstaltninger, der foreslås af Kommissionen, videre på bestemmelserne i NIS-direktivet med henblik på at styrke samarbejdet om cybersikkerhed, informationsudveksling, undervisning og sikkerhedsorganisation i hele EU. Kommissionen vil desuden afslutte en evaluering af ENISA inden udgangen af 2017 og overveje behovet for at ændre eller udvide mandatet for dette agentur.

2.2.1.

Kommissionen vil arbejde tæt sammen med medlemsstaterne, ENISA, Tjenesten for EU's Optræden Udadtil og andre relevante EU-organer om at etablere en platform for undervisning i cybersikkerhed.

2.2.2.

Der foreslås en række foranstaltninger til imødegåelse af indbyrdes afhængighed mellem sektorerne og fremme af den centrale offentlige netværksinfrastrukturs modstandsdygtighed, bl.a. oprettelse af europæiske centre for sektorspecifik informationsdeling og -analyse og deres samarbejde med CSIRT'er (computer security incident response teams). Kommissionen foreslår desuden, at de nationale myndigheder skal kunne anmode CSIRT'er om jævnligt at kontrollere centrale netværksinfrastrukturer.

2.3.

Foranstaltningerne, der foreslås af Kommissionen, omhandler desuden behovet for at øge støtten til vækst og udvikling af en stærk europæisk cybersikkerhedsindustri med undervisning, investeringer, krav vedrørende det indre marked og oprettelse af et nyt offentligt-privat partnerskab om cybersikkerhed, som forventes at udløse investeringer for 1,8 mia. EUR inden 2020.

2.3.1.

Det foreslås desuden at udarbejde et forslag vedrørende en europæisk IKT-sikkerhedscertificeringsramme, som skal fremlægges inden udgangen af 2017, og at vurdere gennemførligheden og indvirkningen af en enkel europæisk ramme for cybersikkerhedsmærkning.

2.3.2.

Med henblik på at opskalere investeringer i cybersikkerhed i Europa og støtte SMV'erne vil Kommissionen øge kendskabet til de eksisterende finansieringsmekanismer blandt cybersikkerhedsaktører, øge anvendelsen af EU-værktøjer og -instrumenter for at hjælpe innovative SMV'er med at udnytte synergier mellem civile og forsvarsmæssige cybersikkerhedsmarkeder (for eksempel vil »Enterprise Europe Network« og »European Network of Defence-related Regions« give regionerne nye muligheder for at benytte sig af grænseoverskridende samarbejde med hensyn til dobbelt anvendelse, herunder cybersikkerhed, og SMV'erne nye muligheder for at engagere sig i kontaktformidlingsaktiviteter); undersøge gennemførligheden af lettere adgang til investeringer via en dedikeret platform for investeringer i cybersikkerhed eller andre værktøjer samt udvikle en platform for intelligent specialisering i cybersikkerhed for at hjælpe medlemsstater og regioner, der er interesserede i at investere i cybersikkerhedssektoren (RIS3).

2.3.3.

Med henblik på at stimulere og fremme den europæiske cybersikkerhedsindustri med innovation vil Kommissionen endvidere indgå et kontraktligt offentlig-privat partnerskab (OPP) om cybersikkerhed med industrien, iværksætte Horisont 2020-indkaldelser af forslag i relation til det kontraktlige OPP om cybersikkerhed samt sikre koordinering af det kontraktlige OPP om cybersikkerhed med relevante sektorspecifikke strategier, Horisont 2020-instrumenter og sektorspecifikke OPP'er.

3.1.

Den digitale økonomi tegner sig for over en femtedel af den samlede BNP-vækst i EU, og hvert år foretager de fleste europæere onlinekøb. Vi er afhængige af internettet og den dermed forbundne digitale teknologi, som understøtter vigtige tjenester på områder som energi og sundhed samt offentlige og finansielle tjenester. De kritiske digitale infrastrukturer og tjenester, som spiller en væsentlig rolle i vores økonomiske og sociale liv, er imidlertid sårbare over for den stigende risiko for cyberkriminalitet og -angreb, der truer vores velstand og livskvalitet.

3.2.

En stor del af de personlige oplysninger om alle borgere opbevares nu elektronisk af regeringer og offentlige institutioner og agenturer. God informationsstyring, cybersikkerhed og databeskyttelse er derfor af stor betydning for borgerne i hele EU, som skal forsikres om, at deres personlige oplysninger og privatlivets fred beskyttes i overensstemmelse med EU's direktiver og forordninger. Dette gør sig især gældende for data vedrørende en persons helbred eller vedkommendes økonomiske eller juridiske situation og andre forhold, som kan anvendes til at stjæle en identitet eller uretmæssigt videregives til tredjeparter. Det er af afgørende betydning, at alle ansatte i den offentlige sektor modtager den rette undervisning i informationsstyring, cybersikkerhed og databeskyttelse.

3.3.

Undervisning i personlig cybersikkerhed for borgerne, herunder datasikkerhed, bør være en grundlæggende del af alle uddannelsesprogrammer om digitale færdigheder. Et uddannelsesprogram drevet af EU kan støtte mindre aktive medlemsstaters bestræbelser og samtidig sikre, at strategien opfattes korrekt og dermed mindske frygten for brud på privatlivets fred og øge tilliden til den digitale økonomi. Et sådant program kunne gennemføres med inddragelse af forbrugerorganisationer og civilsamfundsorganisationer i hele EU, herunder uddannelsesinstitutioner, der opfylder ældre borgeres behov.

3.4.

Alle medlemsstater bør gøre deres eksisterende organisationer for industriel udvikling i stand til at informere, undervise og støtte SMV'er i spørgsmål om cybersikkerhed. Større virksomheder har lettere ved at tilegne sig den nødvendige viden, mens SMV'er har behov for støtte.

3.5.

Det ville være hensigtsmæssigt at indføre en objektiv målestok for den enkelte medlemsstats modstandsdygtighed over for cyberangreb, således at svagheder kunne tackles og forbedringer skabes ved hjælp af sammenligninger. Der kunne måske oprettes en national model for udvikling af cybersikkerhed og et ratingsystem i lighed med modellen »Capability Maturity Model« (CMM) i IT-industrien med henblik på at måle den nationale cybersikkerhed og modstandsdygtighed over for cyberangreb.

3.6.

En omfattende strategi for cybersikkerhed bør indeholde følgende tiltag:

4.1.

På baggrund af rammen for styring af cybersikkerhed, der beskrives i NIS-direktivet, og de øvrige foranstaltninger, der fremgår af denne meddelelse, bør EU overveje at gribe ind over den fragmenterede tilgang til forbedring af cybersikkerheden i hele EU med oprettelse af en stærk centraliseret cybersikkerhedsmyndighed i lighed med Det Europæiske Luftfartssikkerhedsagentur (EASA) og »Federal Chief Information Security Officer«, som for nylig blev etableret i USA (Cybersecurity National Action Plan«, Det Hvide Hus, 9. februar 2016), med ansvar for at overvåge cybersikkerhedspolitikkens gennemførelse på EU-plan og ved at integrere indsatsen fra de forskellige organer, som beskæftiger sig med dette emne.

4.2.

Udvalget er imponeret over den kompetence, som ENISA har udviklet gennem årene, og mener, at agenturet i endnu højere grad kan bidrage til Europas modstandsdygtighed over for cyberangreb og cybersikkerhed. ENISA's operationelle mandat bør styrkes, så det kan øge bevidstgørelsen om og evnen til at reagere på cyberangreb i hele EU mere effektivt. Tidspunktet for en revision af mandatet er rigtigt set i lyset af, hvordan cybersikkerhedssituationen har ændret sig siden ENISA's oprettelse. På baggrund af NIS-direktivet kan ENISA's operationelle rolle måske udvides for at øge den værdi, som agenturet kan tilføre EU, medlemsstaterne, borgerne og virksomhederne ved bedre at udnytte sine kompetencer og synergier i forhold til det arbejde, der udføres i andre af EU's og medlemsstaternes institutioner, agenturer og organer som f.eks. CERT-EU, Europæisk Center til Bekæmpelse af IT-Kriminalitet og Det Europæiske Forsvarsagentur. ENISA bør desuden have mere direkte ansvar for cybersikkerhedsundervisnings- og oplysningsprogrammer, som navnlig er rettet mod borgere og SMV'er.

4.3.

Da Det Europæiske Center til Bekæmpelse af IT-Kriminalitet (EC3) blev oprettet i 2013, havde det et driftsbudget på kun 7 mio. EUR, mindre end 10 % af Europols samlede budget (Kommissionens notat 13/6 af 9. januar 2012). I 2014 erklærede direktøren for EC3, at nedskæringer i alvorlig grad havde begrænset de ressourcer, som hans afdeling havde fået tildelt, og at de kæmpede for at holde trit med de hastigt voksende trusler om cyberkriminalitet (»Security Magazine«, 1. november 2014). EØSU mener, at de ressourcer, som tildeles Europol til bekæmpelse af cyberkriminalitet, skal øges betydeligt for at holde trit med den stigende trussel. Europols budget for 2016 er stadig kun på 100 mio. EUR (4).

4.4.

Udvalget bifalder bestemmelserne i NIS-direktivet og de tiltag, der foreslås i meddelelsen, og som sigter mod at forbedre samarbejdet vedrørende cybersikkerhed mellem medlemsstaterne. Af hensyn til alle borgeres sikkerhed og for at opnå stor modstandsdygtighed over for cyberangreb i hele EU, hvor kritiske infrastrukturers informationssystemer ofte er indbyrdes forbundne, er det vigtigt, at samarbejdsforanstaltningerne tager hensyn til de stigende uligheder mellem landene med de mest avancerede kompetencer inden for cybersikkerhed og de andre medlemsstater med mindre udviklede kompetencer.