EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52017AE4390
Opinion of the European Economic and Social Committee on the ‘Proposal for a Regulation of the European Parliament and of the Council on ENISA, the “EU Cybersecurity Agency”, and repealing Regulation (EU) No 526/2013, and on Information and Communication Technology cybersecurity certification (“Cybersecurity Act”)’ (COM(2017) 477 final/2 2017/0225 (COD))
Det Europæiske Økonomiske og Sociale Udvalgs udtalelse om forslag til Europa-Parlamentets og Rådets forordning om ENISA, »EU's Agentur for Cybersikkerhed«, om ophævelse af forordning (EU) nr. 526/2013 og om cybersikkerhedscertificering af informations- og kommunikationsteknologi (forordningen om cybersikkerhed) (COM(2017) 477 final/2 — 2017/0225 (COD))
Det Europæiske Økonomiske og Sociale Udvalgs udtalelse om forslag til Europa-Parlamentets og Rådets forordning om ENISA, »EU's Agentur for Cybersikkerhed«, om ophævelse af forordning (EU) nr. 526/2013 og om cybersikkerhedscertificering af informations- og kommunikationsteknologi (forordningen om cybersikkerhed) (COM(2017) 477 final/2 — 2017/0225 (COD))
EESC 2017/04390
OJ C 227, 28.6.2018, p. 86–94
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
28.6.2018 |
DA |
Den Europæiske Unions Tidende |
C 227/86 |
Det Europæiske Økonomiske og Sociale Udvalgs udtalelse om forslag til Europa-Parlamentets og Rådets forordning om ENISA, »EU's Agentur for Cybersikkerhed«, om ophævelse af forordning (EU) nr. 526/2013 og om cybersikkerhedscertificering af informations- og kommunikationsteknologi (forordningen om cybersikkerhed)
(COM(2017) 477 final/2 — 2017/0225 (COD))
(2018/C 227/13)
Ordfører: |
Alberto MAZZOLA |
Medordfører: |
Antonio LONGO |
Anmodning om udtalelse |
Europa-Parlamentet, 23.10.2017 Rådet, 25.10.2017 |
Retsgrundlag |
Artikel 114 i traktaten om Den Europæiske Unions funktionsmåde |
Kompetence |
Sektionen for Transport, Energi, Infrastruktur og Informationssamfundet |
Vedtaget i sektionen |
5.2.2018 |
Vedtaget på plenarforsamlingen |
14.2.2018 |
Plenarforsamling nr. |
532 |
Resultat af afstemningen (for/imod/hverken for eller imod) |
206/1/2 |
1. Konklusioner og anbefalinger
1.1. |
EØSU mener, at ENISA's nye permanente mandat som foreslået af Kommissionen vil bidrage betydeligt til at fremme de europæiske systemers modstandsdygtighed. Det foreløbige budget og de ressourcer, der er afsat til ENISA, vil dog ikke række til, at agenturet kan opfylde sit mandat. |
1.2. |
EØSU anbefaler, at alle medlemsstater etablerer en klar og ligeværdig pendant til ENISA, hvilket de fleste endnu ikke har gjort. |
1.3. |
EØSU mener også, at ENISA i forhold til kapacitetsopbygning bør prioritere tiltag for at fremme e-forvaltning (1). Digital identitet for personer, organisationer og objekter i hele EU/verden er af central betydning, og forebyggelse og bekæmpelse af identitetstyveri og internetsvindel bør være en prioritet. |
1.4. |
EØSU anbefaler, at ENISA fremlægger regelmæssige rapporter om medlemsstaternes cyberberedskab primært med fokus på de sektorer, der er nævnt i bilag II til NIS-direktivet. En årlig europæisk cyberøvelse bør evaluere medlemsstaternes beredskab og effektiviteten af den europæiske cyberberedskabsmekanisme og resultere i henstillinger. |
1.5. |
EØSU bifalder forslaget om at skabe et kompetencenetværk for cybersikkerhed. Netværket vil blive støttet af et forsknings- og kompetencecenter for cybersikkerhed. Netværket vil kunne fremme den europæiske digitale suverænitet ved at udvikle et konkurrencedygtigt europæisk industrielt grundlag for centrale teknologiske kapaciteter med udgangspunkt i det arbejde, som er udført inden for rammerne af det kontraktlige offentlig-private partnerskab (OPP), som bør udvikle sig til et trepartsfællesforetagende. |
1.6. |
Den menneskelige faktor udgør en af de vigtigste årsager til cyberhændelser. Efter EØSU's mening er det nødvendigt at opbygge en solid base af cyberkompetencer og forbedre cyberhygiejnen, bl.a. via bevidstgørelseskampagner rettet mod enkeltpersoner og virksomheder. EØSU støtter udarbejdelsen af et EU-certificeret pensum til gymnasier og fagfolk. |
1.7. |
EØSU mener, at en forudsætning for et europæisk digitalt indre marked tillige er ensartet fortolkning af reglerne for cybersikkerhed, herunder gensidig anerkendelse i medlemsstaterne, og at en certificeringsramme og certificeringsordninger for forskellige sektorer kan skabe et fælles udgangspunkt. Der er dog behov for forskellige fremgangsmåder i forskellige sektorer afhængigt af den måde, de fungerer på. Derfor mener EØSU, at sektorspecifikke EU-agenturer (EASA, ERA, EMA osv.) bør inddrages i processen og i nogle tilfælde efter aftale med ENISA overdrages ansvaret for at udarbejde cybersikkerhedsordninger for at garantere sammenhængen. Der bør vedtages europæiske minimumsstandarder for IT-sikkerhed i samarbejde med CEN/Cenelec/ETSI. |
1.8. |
Den europæiske cybersikkerhedscertificeringsgruppe, der er planer om, og som vil blive støttet af ENISA, bør sammensættes af nationale certificeringstilsynsmyndigheder, interessenter fra den private sektor, herunder operatører fra forskellige anvendelsesområder, videnskabelige aktører og civilsamfundsaktører. |
1.9. |
EØSU mener, at agenturet på vegne af Kommissionen bør føre tilsyn med de nationale certificeringstilsynsmyndigheders varetagelse af deres opgaver og beslutningstagning via revisioner og tilsyn, og at ansvarsområder og sanktioner ved manglende overholdelse af standarder bør fastlægges i forordningen. |
1.10. |
EØSU mener, at certificering nødvendigvis må omfatte et egentligt mærkningssystem, der også bør anvendes på importerede produkter for at øge forbrugernes tillid. |
1.11. |
Europa bør øge investeringerne og afsætte midler fra forskellige EU-fonde, nationale midler og investeringer fra den private sektor til realisering af de strategiske målsætninger i et stærkt offentlig-privat samarbejde, bl.a. via oprettelse af en EU-fond for innovation og F&U inden for cybersikkerhed under det nuværende og fremtidige forskningsrammeprogram. Desuden bør EU oprette en fond for cybersikkerhedsimplementering ved at åbne en ny finansieringsmulighed under den nuværende og fremtidige Connecting Europe-facilitet og i den næste EFSI 3.0. |
1.12. |
EØSU mener, at et minimumssikkerhedsniveau er nødvendigt for »almindelige« enheder forbundet til »personernes internet« (Internet of People). I dette tilfælde er certificering afgørende for at opnå et højere sikkerhedsniveau. Sikkerheden i forbindelse med tingenes internet bør være en prioritet. |
2. Den nuværende ramme for cybersikkerhed
2.1. |
Cybersikkerhed er afgørende for velstanden og den nationale sikkerhed og for selve den måde, vores demokratier, friheder og værdier fungerer på. Cybersikkerhed er et økosystem, hvor lovgivning, organisationer, færdigheder, samarbejde og teknisk gennemførelse skal harmonere for at være mest effektiv, fremgår det af FN’s globale indeks for cybersikkerhed, og det fremgår endvidere, at cybersikkerhed får en stadig mere fremtrædende plads i beslutningstagernes bevidsthed i de enkelte lande. |
2.2. |
Internetrevolutionen har ført til, at behovet for et sikkert økosystem efterhånden er af afgørende betydning. Denne revolution har ikke kun omdefineret virksomhed-til-forbruger (B2C)-industrierne såsom medier, detailhandel og finansielle tjenesteydelser, men er også ved at ændre fremstillings-, energi-, landbrugs-, transport- og andre af økonomiens industrisektorer, der tilsammen tegner sig for næsten to tredjedele af det globale bruttonationalprodukt, ligesom forsyningsinfrastrukturen og menneskers interaktion med offentlige myndigheder er i forandring. |
2.3. |
Strategien for det digitale indre marked går ud på, at der skal være bedre adgang til varer, tjenesteydelser og indhold, fastlægges de rette retlige rammer for digitale netværk og tjenester, og at fordelene ved en databaseret økonomi skal udnyttes. Det er blevet anslået, at strategien vil kunne bidrage med 415 mia. EUR til EU's økonomi om året. Der forventes at mangle 350 000 arbejdstagere med kompetencer inden for cybersikkerhed i den private sektor i Europa i 2022 (2). |
2.4. |
I en undersøgelse fra 2014 blev det anslået, at de økonomiske konsekvenser af cyberkriminalitet i EU udgjorde 0,41 % af EU's BNP (dvs. omkring 55 mia. EUR) i 2013 (3). |
2.5. |
Ifølge Eurobarometersærnummer 464a om europæernes holdninger til cybersikkerhed er 73 % af internetbrugerne bekymrede for, at deres personoplysninger på nettet ikke beskyttes godt nok på hjemmesider, og 65 % er bekymrede for, at de offentlige myndigheder ikke beskytter deres personoplysninger godt nok. De fleste respondenter frygter at blive offer for forskellige former for cyberkriminalitet, specielt frygter de skadelig software på deres enheder (69 %), identitetstyveri (69 %) og svindel med bankkort og netbank (66 %) (4). |
2.6. |
Indtil videre har der ikke været retlige rammer, der har kunnet holde trit med den hurtige digitale innovation, og en række retsakter danner styk for styk en passende ramme: revisionen af kodeksen for elektronisk kommunikation, den generelle forordning om databeskyttelse, direktivet om sikkerhedsniveauet for net- og informationssystemer (NIS-direktivet), forordningen om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked (e-IDAS-forordningen), aftalen om værn om privatlivets fred mellem EU og USA, direktivet om svig og forfalskning i forbindelse med andre betalingsmidler end kontanter og så videre. |
2.7. |
Der er mange forskellige organisationer ud over ENISA (EU's agentur for cybersikkerhed), der beskæftiger sig med cybersikkerhed: Europol, Cert-EU (IT-Beredskabsenheden for EU's Institutioner, Organer og Agenturer), EU's Efterretnings- og Situationscenter (EU INTCEN), Det Europæiske Agentur for den Operationelle Forvaltning af Store IT-systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA), informationsudvekslings- og analysecentre (ISAC'er), den europæiske cybersikkerhedsorganisation (ECSO), Det Europæiske Forsvarsagentur (EDA), NATO's cyberforsvarscenter og UN GGE (FN's gruppe af regeringseksperter om udviklingen inden for information og telekommunikation i forbindelse med international sikkerhed). |
2.8. |
Indbygget sikkerhed er nøglen til at levere varer og tjenester af høj kvalitet: Intelligente enheder er knap så intelligente, hvis de ikke er sikre, og det samme gælder intelligente biler, intelligente byer og intelligente hospitaler — en forudsætning er i alle tilfælde indbygget sikkerhed i enheder, systemer, arkitekturer og tjenester. |
2.9. |
Den 19.-20. oktober 2017 efterlyste Det Europæiske Råd en fælles tilgang til cybersikkerhed i EU i forlængelse af den foreslåede reformpakke, idet det opfordrede til »en fælles tilgang til cybersikkerhed: den digitale verden kræver tillid, og tillid opnås kun, hvis vi sikrer en mere proaktiv indbygget sikkerhed i alle digitale politikker, tilbyder tilstrækkelig sikkerhedscertificering af produkter og tjenester og øger vores kapacitet til at forebygge, afværge, afsløre og reagere på cyberangreb« (5). |
2.10. |
I sin beslutning af 17. maj 2017 understreger Europa-Parlamentet »behovet for sikkerhedsbeskyttelse fra start til slut for finansielle tjenesteydelser på tværs af hele værdikæden; henleder opmærksomheden på de store og forskelligartede risici, som cyberangreb udgør for vores finansielle markedsinfrastruktur, tingenes internet, valutaer og data; (…) opfordrer de europæiske tilsynsmyndigheder til (…) regelmæssigt at gennemgå de operationelle standarder, der vedrører de finansielle institutioners IKT-risici; opfordrer desuden til, at de europæiske tilsynsmyndigheder (…) udarbejder retningslinjer for tilsyn med [medlemsstaternes cyberrisici]; understreger vigtigheden af, at de europæiske tilsynsmyndigheder har den teknologiske ekspertise, der er nødvendig« (6). |
2.11. |
EØSU har ved flere tidligere lejligheder beskæftiget sig med spørgsmålet (7), bl.a. på topmødet i Tallinn, hvor der blev afholdt en konference om fremtidig udvikling af e-forvaltning (8). Udvalget har nedsat en permanent studiegruppe vedrørende den digitale dagsorden. |
3. Kommissionens forslag
3.1. |
Cybersikkerhedspakken indeholder en fælles meddelelse med en revision af den tidligere europæiske strategi for cybersikkerhed (2013) og en forordning om cybersikkerhed, der er koncentreret om ENISA's nye mandat og et forslag til en certificeringsramme. |
3.2. |
Strategien er bygget op omkring tre hovedafsnit: modstandsdygtighed, afskrækkelse og internationalt samarbejde. Afsnittet om afskrækkelse har navnlig fokus på cyberkriminalitet, herunder Budapestkonventionen, og afsnittet om internationalt samarbejde omhandler cyberforsvar, cyberdiplomati og samarbejde med NATO. |
3.3. |
Forslaget indeholder forslag til nye initiativer som f.eks.:
|
3.4. |
I afsnittet om modstandsdygtighed foreslås der cybersikkerhedsforanstaltninger, der især er rettet mod markedsrelaterede problemer, NIS-direktivet, hurtigt kriseberedskab, udviklingen af EU-kompetence, uddannelse — i cyberfærdigheder og cyberhygiejne — og bevidstgørelse. |
3.5. |
Sideløbende foreslås det i forordningen om cybersikkerhed, at der udarbejdes en EU-ramme for cybersikkerhedscertificering af IKT-produkter og -tjenester. |
3.6. |
I forordningen om cybersikkerhed foreslås det ligeledes, at ENISA's rolle som EU-agenturet for cybersikkerhed styrkes, og at det gives et permanent mandat. I tillæg til de nuværende ansvarsområder forventes ENISA at varetage nye understøttende og koordinerende opgaver for at fremme gennemførelsen af NIS-direktivet, EU's strategi for cybersikkerhed, planen for cybersikkerhed, kapacitetsopbygning, viden og information, oplysningskampagner, markedsrelaterede opgaver såsom støtte til standardisering og certificering, forskning og innovation, fælleseuropæiske cybersikkerhedsøvelser og sekretariatet for netværket af enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er). |
4. Generelle bemærkninger — Overblik
4.1. Baggrund: Modstandsdygtighed
4.1.1. Det indre marked for cybersikkerhed
Rettidig omhu: Udviklingen af det i den fælles meddelelse foreslåede princip om »rettidig omhu«, når det gælder anvendelse af sikre udviklingsprocesser i hele livscyklussen, er et interessant koncept, der skal udvikles i samarbejde med EU's industri, og kan resultere i en samlet tilgang til regeloverholdelse i EU. I forbindelse med fremtidige udviklingsprocesser bør sikkerhed være standard.
Ansvar: Certificering vil bidrage til at gøre ansvarsfordelingen nemmere i tilfælde af en tvist.
4.1.2. |
NIS-direktivet: energi, transport, bank-/finansvæsen, sundhed, vand, digital infrastruktur, e-handel. |
Efter EØSU's opfattelse er en fuld og effektiv gennemførelse af NIS-direktivet afgørende for at sikre, at nationale kritiske sektorer er modstandsdygtige.
EØSU mener, at informationsdelingen mellem offentlige og private aktører bør forbedres via sektorspecifikke centre for informationsudveksling- og analyse (ISAC'er). Der bør udvikles en passende mekanisme til sikker deling af pålidelig information internt i ISAC'er og mellem CSIRT'er og ISAC'er med udgangspunkt i en evaluering/analyse af den mekanisme, der allerede anvendes.
4.1.3. Hurtigt kriseberedskab
Med en cybersikkerhedsplan vil der være en effektiv procedure for en operationel indsats over for større hændelser på EU-plan og i medlemsstaterne. Udvalget understreger behovet for at involvere den private sektor. Operatører af væsentlige tjenester under den operationelle beredskabsmekanisme bør tages med i overvejelserne, da de kan levere værdifuld information om trusler og/eller støtte til påvisning af og respons på trusler og omfattende kriser.
I den fælles meddelelse foreslås det at integrere cyberhændelser i EU's krisehåndteringsmekanismer. EØSU har forståelse for behovet for kollektiv respons og solidaritet i tilfælde af et angreb, men det kræver en bedre forståelse af, hvordan dette skal foregå, eftersom cybertrusler typisk spreder sig fra land til land. De redskaber, der anvendes ved nationale nødsituationer, vil kun i et vist omfang kunne anvendes til at imødekomme lokale behov.
4.1.4. Udvikling af EU-kompetence
Hvis EU reelt skal kunne konkurrere på verdensplan og opbygge en solid teknologisk base, er det vigtigt, at der etableres en sammenhængende, langsigtet ramme omfattende alle stadier i cybersikkerhedsværdikæden. I den henseende er fremme af samarbejdet mellem europæiske regionale økosystemer helt centralt for udviklingen af en cybersikkerhedsværdikæde. EØSU bifalder forslaget om at skabe et kompetencenetværk for cybersikkerhed.
Et sådant netværk vil kunne fremme den europæiske digitale suverænitet ved at udvikle et konkurrencedygtigt europæisk industrielt grundlag og nedbringe afhængigheden af knowhow vedrørende centrale teknologiske kapaciteter udviklet uden for EU, levere tekniske øvelser, workshops og endog vigtig uddannelse i cyberhygiejne for fagfolk og ikkefagfolk, og tillige — baseret på OPP'ets arbejde — fremme udviklingen af et netværk af nationale offentlig-private organisationer, der kan støtte udviklingen af et marked i Europa. OPP'et bør optimeres, tilpasses og udbygges (formandskabstrioen Estland-Bulgarien-Østrigs arbejdsprogram for cybersikkerhed) ved at videreudvikle det til et trepartsfællesforetagende (Kommissionen, medlemsstaterne, virksomhederne).
Et veldefineret forvaltningssystem er en forudsætning for, at netværket bliver effektivt og kan realisere de foreslåede målsætninger på EU-niveau.
Netværket vil blive støttet af et forsknings- og ekspertisecenter for cybersikkerhed på EU-niveau og dermed forbinde eksisterende, nationale kompetencecentre i hele EU. Forsknings- og ekspertisecentret skal ikke kun koordinere og styre forskning som i andre fællesforetagender, men også bane vej for en effektiv udvikling af det europæiske cybersikkerhedsøkosystem, hvilket vil fremme gennemførelsen og udbredelsen af EU-innovation.
4.2. Baggrund: Afskrækkelse
4.2.1. |
Bekæmpelse af cyberkriminalitet har høj prioritet på nationalt og europæisk plan og kræver et stærkt politisk engagement. Afskrækkende aktiviteter bør gennemføres i et stærkt partnerskab mellem den offentlige og private sektor for at sikre effektiv informationsudveksling og ekspertise på nationalt plan og EU-plan. Muligheden for at udbygge Europols aktiviteter inden for cyberkriminalteknik og -overvågning bør undersøges nærmere. |
4.3. Baggrund: Internationalt samarbejde
4.3.1. |
Etablering og bevarelse af et betroet samarbejde med tredjelande via cyberdiplomati og virksomhedspartnerskaber er nøglen til at styrke Europas kapacitet til at forebygge, afværge og reagere på omfattende cyberangreb. Europa bør fremme samarbejdet med USA, Kina, Israel, Indien og Japan. En modernisering af EU's eksportkontrol bør forhindre overtrædelser af menneskerettighederne og misbrug af teknologier rettet mod EU's egen sikkerhed, men bør også sikre, at industrien i EU ikke bliver straffet i forhold til tredjelandes udbud. Man bør overveje en ad hoc-strategi for tiltrædelseslande med henblik på udvekslingen af følsomme oplysninger på tværs af landegrænser, herunder muligheden for, at de kan deltage som observatører i nogle af ENISA-landenes aktiviteter. Landene bør rangordnes i forhold til deres vilje til at bekæmpe cyberkriminalitet, og man kunne forestille sig, at der udarbejdes en sortliste. |
4.3.2. |
EØSU bifalder, at cyberforsvar medtages i den planlagte anden fase af et muligt fremtidigt EU-kompetencecenter for cybersikkerhed. I mellemtiden kunne EU se nærmere på udviklingen af kompetencer med dobbelt anvendelse, bl.a. ved at udnytte Den Europæiske Forsvarsfond og etablere den planlagte uddannelsesplatform for cyberforsvar i 2018. Den gensidige anerkendelse af potentiale og trusler nødvendiggør efter EØSU's opfattelse, at samarbejdet mellem EU og NATO udbygges, og at den europæiske industri tillige følger nøje med i udviklingen af EU-NATO-samarbejdet om øget interoperabilitet af cybersikkerhedsstandarder og andre former for samarbejde som led i EU's strategi for cyberforsvar. |
4.4. EU's ramme for certificering
4.4.1. |
EØSU mener, at Europa er nødt til at gribe ind over for den usammenhængende håndtering af cybersikkerhed gennem ensartet fortolkning af reglerne, herunder gensidig anerkendelse i medlemsstaterne under en fælles paraply for at gøre det nemmere at beskytte et digitalt indre marked. En certificeringsramme kan udgøre et fælles udgangspunkt (med specifikke regler på højere niveauer, hvor det er nødvendigt), sikre synergier på tværs af vertikale sektorer og nedbringe den nuværende fragmentering. |
4.4.2. |
EØSU glæder sig over etableringen af en EU-certificeringsramme for cybersikkerhed og certificeringsordninger for forskellige sektorer, der er baseret på passende krav, og som er kommet i stand i et samarbejde med de vigtigste aktører. Den tid, det tager at bringe produkter og tjenester på markedet, certificeringsomkostninger, kvalitet og sikkerhed er imidlertid afgørende faktorer, der skal tages i betragtning. Der vil blive etableret certificeringsordninger for at øge sikkerheden i overensstemmelse med de aktuelle behov og den aktuelle trusselsviden. Smidigheden af og udviklingspotentialet i disse ordninger bør medtages i overvejelserne, så der kan foretages de nødvendige opdateringer. Der er behov for forskellige fremgangsmåder i de forskellige sektorer afhængigt af den måde, de fungerer på. Derfor mener EØSU, at sektorspecifikke EU-agenturer (EASA, EBA, ERA, EMA osv.) bør inddrages i processen og i nogle tilfælde overdrages ansvaret for udformningen af cybersikkerhedsordninger efter aftale med ENISA, således at overlapninger undgås, og de ikke bliver usammenhængende. |
4.4.3. |
For EØSU er det vigtigt, at certificeringsrammen baseres på fælles fastlagte europæiske standarder for cybersikkerhed og IKT, som så vidt muligt er internationalt anerkendte. Under hensyntagen til tidsplanen og nationale beføjelser bør der indføres europæiske minimumsstandarder for IT-sikkerhed i samarbejde med CEN/Cenelec/ETSI. Faglige standarder bør opfattes positivt, men bør ikke være retligt bindende eller hindre konkurrencen. |
4.4.4. |
Der er et klart behov for at knytte ansvar til de forskellige sikringsniveauer baseret på truslernes rækkevidde. En dialog med forsikringsselskaberne kan have positiv indflydelse på, at de krav til cybersikkerhed, der indføres, bliver effektive, afhængigt af hvilken sektor de anvendes i. EØSU mener, at der til virksomheder, der ønsker et »højt sikringsniveau«, bør være støtte og incitamenter, især for så vidt angår livsnødvendigt udstyr og systemer. |
4.4.5. |
I betragtning af den tid, der er gået siden vedtagelsen af direktiv 85/374/EØF (9), og den nuværende teknologiske udvikling opfordrer EØSU Kommissionen til at se nærmere på relevansen af at medtage nogle af de scenarier, der er beskrevet i forslaget til forordning, i førnævnte direktivs anvendelsesområde med henblik på at skabe sikrere produkter med et højere beskyttelsesniveau. |
4.4.6. |
Den planlagte europæiske cybersikkerhedscertificeringsgruppe, der støttes af ENISA, bør sammensættes af nationale certificeringstilsynsmyndigheder, interessenter fra den private sektor og operatører fra forskellige anvendelsesområder for at sikre, at der udvikles omfattende certificeringsordninger. Derudover bør der lægges op til et samarbejde mellem denne gruppe og sektorrepræsentative sammenslutninger fra EU/EØS (f.eks. OPP, bankvæsen, transport, energi, sammenslutninger osv.) via udpegelse af eksperter. Gruppen bør beskæftige sig med de europæiske resultater inden for certificering (hovedsagligt baseret på SO-GIS-aftalen om gensidig anerkendelse, nationale ordninger og specifikke ordninger) og have som mål at bevare europæiske konkurrencefordele. |
4.4.7. |
EØSU anbefaler, at denne gruppe af interessenter sammen med Kommissionen får ansvaret for at udforme certificeringsordninger. Sektorspecifikke krav bør tillige fastlægges i enighed mellem offentlige og private interessenter (brugere og leverandører). |
4.4.8. |
Derudover bør gruppen regelmæssigt evaluere certificeringsordningerne under hensyntagen til de enkelte sektorers behov og tilpasse ordningerne, når det er nødvendigt. |
4.4.9. |
EØSU støtter udfasningen af nationale certificeringsordninger, når der indføres en europæisk ordning som foreslået i forordningens artikel 49. Et indre marked kan ikke fungere med forskelligartede og konkurrerende nationale regler. Med henblik herpå foreslår EØSU en kortlægning af alle nationale ordninger. |
4.4.10. |
EØSU foreslår, at Kommissionen iværksætter tiltag for at fremme cybersikkerhedscertificering og -certifikater i EU og arbejder for, at de anerkendes i alle internationale handelsaftaler. |
4.5. ENISA
4.5.1. |
EØSU mener, at ENISA's nye permanente mandat som foreslået af Kommissionen vil bidrage betydeligt til at øge de europæiske systemers modstandsdygtighed. Dog vil det foreløbige budget og de midler, der er afsat til det fornyede ENISA, ikke nødvendigvis være tilstrækkelige til, at agenturet kan opfylde sit mandat. |
4.5.2. |
EØSU opfordrer alle medlemsstater til at etablere en klar og ligeværdig pendant til ENISA, hvilket de fleste endnu ikke har gjort. Der bør arbejdes for et struktureret program for udstationering af nationale eksperter til ENISA med henblik på at fremme udvekslingen af bedste praksis og øge tilliden. Udvalget anbefaler endvidere, at Kommissionen sørger for, at den eksisterende gode praksis og de effektive foranstaltninger, der findes i medlemsstaterne, indsamles og deles. |
4.5.3. |
Det er desuden EØSU's opfattelse, at ENISA i forhold til kapacitetsopbygning bør prioritere tiltag, der fremmer e-forvaltning (10). Digital identitet for personer, organisationer, virksomheder og objekter i hele EU/verden er af central betydning, og forebyggelse og bekæmpelse af identitetstyveri og onlinebedrageri samt bekæmpelse af tyveri af industriel intellektuel ejendomsret bør være en prioritet. |
4.5.4. |
ENISA bør også fremlægge regelmæssige rapporter om medlemsstaternes cyberberedskab primært med fokus på de sektorer, der er nævnt i bilag II til NIS-direktivet. En årlig europæisk cyberøvelse bør evaluere medlemsstaternes beredskab og effektiviteten af den europæiske cyberberedskabsmekanisme og bør resultere i henstillinger. |
4.5.5. |
EØSU er bekymret for, at ressourcerne er for begrænsede, når det gælder operationelt samarbejde, herunder til CSIRT-netværket. |
4.5.6. |
Med hensyn til markedsrelaterede opgaver er EØSU af den opfattelse, at et øget samarbejde med medlemsstaterne og etablering af et formelt netværk af cybersikkerhedsagenturer vil bidrage til at fremme samarbejdet mellem interessenter (11). Produkter bringes på markedet meget hurtigt, og tiden er afgørende for, at EU-virksomheder kan konkurrere på dette område. ENISA skal være i stand til at reagere i takt med dette. EØSU mener, at ENISA ligesom andre EU-agenturer i fremtiden kunne indføre en gebyr- og afgiftsordning. EØSU er bekymret for, at konkurrence om kompetencer mellem EU-agenturer og nationale agenturer, som det er sket på andre områder, kan forsinke en korrekt etablering af EU-lovrammen og skade EU's indre marked. |
4.5.7. |
EØSU bemærker, at de forsknings- og innovationsrelaterede opgaver og det internationale samarbejde for nuværende er meget begrænset. |
4.5.8. |
EØSU mener, at cybersikkerhed bør være et fast diskussionspunkt på de regelmæssige fælles møder i agenturerne for retlige og indre anliggender (RIA), og at der bør være et fast samarbejde mellem ENISA og Europol. |
4.5.9. |
Da cyberverdenen er stærkt innovativ, skal standarderne overvejes nøje for at undgå hindringer for innovation, hvilket kræver en dynamisk ramme. Både fremadrettet og bagudrettet kompatibilitet bør så vidt muligt garanteres for at beskytte både borgerne og virksomhedernes investeringer. |
4.5.10. |
Da de nationale certificeringstilsynsmyndigheder spiller en vigtig rolle, foreslår EØSU, at der allerede med forordningen etableres et formelt netværk af myndigheder med beføjelser til at løse grænseoverskridende problemer med hjælp fra ENISA. Netværket kan på et senere stadie udvikle sig til et agentur. |
4.5.11. |
Tillid er fundamental, men ENISA kan ikke udstede hverken beslutninger eller revisionsrapporter. EØSU mener, at agenturet på vegne af Kommissionen bør føre tilsyn med de nationale certificeringstilsynsmyndigheders varetagelse af deres opgaver og beslutningstagning via revisioner og kontrol. |
4.5.12. |
Deltagelsen i ENISA's bestyrelse bør udvides til også at omfatte erhvervs- og forbrugerorganisationer som observatører. |
4.6. Industri, SMV'er, finansiering/investeringer og innovative forretningsmodeller
4.6.1. Industri og investeringer
For at øge EU-virksomheders globale konkurrencedygtighed på IKT-området skal foranstaltningerne være bedre gearet til at støtte IKT-industriens, herunder SMV'ers, vækst og konkurrenceevne.
Europa bør øge investeringerne og afsætte midler fra forskellige EU-fonde, nationale midler og investeringer fra den private sektor til realisering af de strategiske målsætninger i et stærkt offentlig-privat samarbejde. Investeringerne på kritiske områder bør øges og fremmes med etablering af en EU-fond for innovation og F&U inden for cybersikkerhed under det nuværende og fremtidige forskningsrammeprogram. Desuden bør EU oprette en fond for cybersikkerhedsimplementering ved at åbne en ny finansieringsmulighed under den nuværende og fremtidige Connecting Europe-facilitet og i den næste EFSI 3.0.
Der bør skabes incitamenter for EU-medlemsstater til i det mulige omfang at indkøbe europæiske løsninger og vælge europæiske leverandører, især til følsomme anvendelser. Europa bør støtte væksten i europæiske cyberfrontløbere, der kan konkurrere på det globale marked.
4.6.2. SMV'er
På grund af markedsfragmenteringen er der behov for mere klarhed over kundernes efterspørgsel for at få et bedre greb om markedet. Uden struktureret efterspørgsel kan SMV'er og opstartsvirksomheder ikke vokse sig større hurtigt. Etablering af en europæisk cybersikkerhedshub for SMV'er vil på den baggrund være et positivt skridt.
Teknologien inden for cybersikkerhed udvikler sig hurtigt, og på grund af deres fleksibilitet kan SMV'er levere de avancerede løsninger, der er nødvendige for at forblive konkurrencedygtige. Sammenlignet med tredjelande arbejder EU stadig på at finde den rigtige forretningsmodel for SMV'er.
Der kunne udvikles specifikke ordninger for nystartede virksomheder og SMV'er, som yder støtte til certificeringsomkostninger med det sigte at imødegå deres store vanskeligheder med at rejse midler til den teknologiske og forretningsmæssige udvikling.
4.7. Den menneskelige faktor: uddannelse og beskyttelse
4.7.1. |
EØSU bemærker, at Kommissionens forslag ikke tager tilstrækkeligt højde for mennesker som drivkræfter for digitale processer, enten som dem, der opnår fordele heraf, eller som årsag til alvorlige cyberhændelser. |
4.7.2. |
Det er nødvendigt at opbygge en solid base af cyberkompetencer, forbedre cyberhygiejnen og øge bevidstheden hos enkeltpersoner og virksomheder. For at realisere dette bør man overveje målrettede investeringer, tid til uddannelse af instruktører på højt niveau og effektive bevidstgørelseskampagner. Gennemførelsen af disse tre foranstaltninger kræver, at nationale og regionale myndigheder (med ansvar for etablering af og investering i effektive uddannelsesprogrammer) samt virksomheder og SMV'er inddrages i en fælles indsats. |
4.7.3. |
Udarbejdelsen af et muligt EU-certificeret pensum til gymnasier og fagfolk med aktiv inddragelse af ENISA og de tilsvarende nationale organer bør overvejes. Derudover skal kønsligestilling tages i betragtning, når der udvikles uddannelsesprogrammer med henblik på at øge beskæftigelsen inden for cybersikkerhed. |
4.7.4. |
EØSU mener, at certificeringsprocessen bør omfatte en egentlig mærkningsordning for både hardware og software, sådan som det er tilfældet for mange andre produkter (f.eks. energiprodukter). Fordelene ved et sådant instrument vil være tredobbelte, nemlig at nedbringe omkostningerne for virksomheder, fjerne den eksisterende markedsfragmentering, der er en følge af forskellige certificeringsordninger på nationalt niveau, og gøre det nemmere for forbrugerne at forstå den indkøbte genstands kvalitet og karakteristika. I den forbindelse er det vigtigt, at produkter, der importeres fra tredjelande, er omfattet af de samme certificerings- og mærkningsordninger. Endelig mener EØSU, at indførelse af et særligt logo kunne være en effektiv metode til med det samme at give forbrugere og brugere information om pålideligheden af indkøbte produkter og internetbutikker og af sider, hvortil der videregives følsomme data. |
4.7.5. |
ENISA bør stå i spidsen for en yderst vigtig informations- og bevidstgørelseskampagne på flere niveauer rettet mod at øge kendskabet til »sikker« adfærd på nettet og brugernes tillid til internettet. Erhvervs- og forbrugerorganisationer og andre organer, der beskæftiger sig med digitale tjenester, bør i den forbindelse inddrages. |
4.7.6. |
Ud over forordningen om cybersikkerhed anser EØSU det, som allerede foreslået i udtalelse INT/828, for afgørende hurtigst muligt at iværksætte et omfattende program for digital uddannelse og erhvervsuddannelse i hele EU for at sikre, at alle borgere har de nødvendige redskaber til at tackle overgangen bedst muligt. EØSU er sig de særlige nationale beføjelser på området bevidst, men ser dog gerne, at programmet starter i skolerne, at der bygges videre på lærernes viden, at læseplaner og undervisningsmetoder tilpasses de digitale teknologier (inkl. e-læring), og at alle elever får en uddannelse af høj kvalitet. Programmet vil som en naturlig del også omfatte livslang læring med det mål at tilpasse eller opdatere alle arbejdstageres kvalifikationer (12). |
5. Særlige bemærkninger
5.1. Nye teknologier og løsninger: tingenes internet
Antallet af forbundne enheder er konstant stigende og forventes langt at ville overstige antallet af mennesker på Jorden som følge af digitaliseringen af komponenter, systemer og løsninger og forbedret konnektivitet. Denne udvikling skaber nye muligheder for internetkriminelle, især fordi enheder forbundet til tingenes internet ofte ikke er så godt beskyttet som traditionelle enheder.
Med ens europæiske sikkerhedsstandarder for de vertikale sektorer, der anvender enheder forbundet til tingenes internet, vil udviklingsindsatsen, -tiden, og -budgettet kunne nedbringes for alle industriaktører i værdikæden for forbundne produkter.
En form for minimumssikkerhedsniveau ved hjælp af IDAM (identitets- og adgangsstyring), fejl-patchning og styring af enheder vil sandsynligvis være nødvendig for »almindelige« enheder forbundet til »personernes internet« (Internet of People). Da certificering er afgørende for at tilvejebringe et højere sikkerhedsniveau, bør der lægges mere vægt på sikkerheden ved tingenes internet under den nye tilgang til EU-certificering.
Bruxelles, den 14. februar 2018.
Georges DASSIS
Formand for Det Europæiske Økonomiske og Sociale Udvalg
(1) Det digitale indre marked/midtvejsevaluering.
(2) JOIN(2017) 450 final.
(3) Arbejdsdokument fra Kommissionens tjenestegrene — Impact Assessment, accompanying the Proposal for a Regulation of the European Parliament and of the Council, del 1/6, s. 21, Bruxelles, 13/9/17.
(4) Eurobarometersærnummer 464a — Wave EB87.4 — Europeans' attitudes towards cyber security, september 2017.
(5) Det Europæiske Råds konklusioner af 19. oktober 2017.
(6) Europa-Parlamentets beslutning af 17.5.2017 — A8-0176/2017.
(7) Det digitale indre marked/midtvejsevaluering; EUT C 75 af 10.3.2017, s. 124; EUT C 246 af 28.7.2017, s. 8; EUT C 345 af 13.10.2017, s. 52; EUT C 288 af 31.8.2017, s. 62; EUT C 271 af 19.9.2013, s. 133.
(8) EØSU's pressemeddelelse nr. 31/2017, Civil Society debates E-government and cybersecurity with incoming Estonian Presidency: https://www.eesc.europa.eu/en/news-media/press-releases/civil-society-debates-e-government-and-cybersecurity-incomingestonian-presidency.
(9) EFT L 210 af 7.8.1985, s. 29.
(10) Det digitale indre marked/midtvejsevaluering.
(11) EUT C 75 af 10.3.2017, s. 124.
(12) Det digitale indre marked/midtvejsevaluering.