Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses zu dem "Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Gründung der Europäischen Agentur für Informations- und Netzsicherheit"

(KOM(2003) 63 endg. - 2003/0032 (COD))

(2003/C 220/07)

Der Rat der Europäischen Union beschloss am 3. März 2003, gemäß Artikel 95 und 156 des EG-Vertrags den Europäischen Wirtschafts- und Sozialausschuss um Stellungnahme zu dem vorgenannten Vorschlag zu ersuchen.

Die mit der Vorbereitung der Arbeiten betraute Fachgruppe Verkehr, Energie, Infrastrukturen, Informationsgesellschaft nahm ihre Stellungnahme am 5. Juni 2003 an. Berichterstatter war Herr Lagerholm.

Der Ausschuss verabschiedete auf seiner 400. Plenartagung am 18. und 19. Juni 2003 (Sitzung vom 18. Juni) mit 71 Stimmen bei 1 Stimmenthaltung folgende Stellungnahme.

1. Einleitung

1.1. Informationssysteme sind heute in allen Bereichen der Wirtschaft von großer Bedeutung. Nicht nur für die meisten Industriezweige, sondern auch für den öffentlichen Sektor, für Universitäten und Hochschulen und für den einzelnen Bürger sind sie unverzichtbar geworden. Funktionsstörungen in Netz- und Informationssystemen betreffen alle: Bürger, öffentliche Verwaltungen und Unternehmen.

1.2. Die Europäische Gemeinschaft könnte von einer engeren Zusammenarbeit der Mitgliedstaaten profitieren, um ein hinreichendes Maß an Sicherheit in allen Mitgliedstaaten zu erreichen. Dieses Ziel wird mit der Mitteilung der Kommission über die Sicherheit der Netze und Informationen vom Juni 2001 angestrebt(1).

1.3. Sicherheit ist zu einem wichtigen Aspekt für die Anwender und damit auch zu einem wesentlichen politischen Anliegen geworden. Seit dem 11. September 2001 ist das Funktionieren der Informationssysteme auch eine Frage der Staatssicherheit. Die Mitgliedstaaten stehen jedoch in diesem Zusammenhang in unterschiedlichen Phasen der Arbeit und widmen ihre Aufmerksamkeit verschiedenen Schwerpunkten. Derzeit gibt es noch keine grenzüberschreitende systematische Zusammenarbeit zwischen den Mitgliedstaaten im Bereich der Netz- und Informationssicherheit, obwohl dieser Bereich der Sicherheit keine innere Angelegenheit eines Landes sein kann. Es gibt kein Verfahren, das wirksame Reaktionen auf Sicherheitsbedrohungen gewährleistet. Die einschlägigen Rechtsvorschriften sind in unterschiedlichem Maße umgesetzt worden. Es besteht ein Mangel an Interoperabilität, der den sachgerechten Einsatz von Sicherheitsprodukten und -diensten erschwert.

1.4. Die vorgeschlagene Agentur soll die Durchführung von Gemeinschaftsmaßnahmen im Bereich der Netz- und Informationssicherheit fördern, für die Interoperabilität der Sicherheitsfunktionen in Netzen und Informationssystemen sorgen und damit einen Beitrag zum Funktionieren des Binnenmarktes leisten.

1.5. Die Agentur wird folgende beratende und koordinierende Funktionen haben:

- Beitrag zu einer breit angelegten Zusammenarbeit zwischen verschiedenen Akteuren der Informationssicherheit;

- Anwendung eines koordinierten Konzepts der Informationssicherheit durch Unterstützung der Mitgliedstaaten;

- Hilfe bei der Ermittlung des entsprechenden Normungsbedarfs;

- Förderung der Kontakte der Gemeinschaft zu entsprechenden Akteuren in Drittländern.

1.6. Die Kommission soll der Agentur weitere Aufgaben übertragen können, um mit der technologischen und gesellschaftlichen Entwicklung Schritt halten zu können.

1.7. Dem Vorschlag zufolge soll die Agentur ihre Arbeit am 1. Januar 2004 aufnehmen und fünf Jahre tätig sein. Eine eventuelle Fortsetzung der Tätigkeit der Agentur nach diesem Zeitraum richtet sich nach dem Ergebnis einer Bewertung ihrer Tätigkeit.

2. Allgemeine Bemerkungen

2.1. Der Europäische Wirtschafts- und Sozialausschuss hat bereits mehrmals und in verschiedenen Stellungnahmen seine Unterstützung für sämtliche Initiativen zum Aufbau der Informationsgesellschaft zum Ausdruck gebracht. Dazu gehört der Aktionsplan eEurope - Netz- und Informationssicherheit(2), die Bekämpfung der Computerkriminalität(3), die notwendige Entwicklung einer wissensbasierten Gesellschaft ohne Ausgrenzung(4) und das Recht auf einen sicheren Zugang zum Internet im Hinblick auf den Schutz persönlicher Daten sowie die sichere Bezahlung im elektronischen Geschäftsverkehr und sichere Kommunikationsdienste(5).

2.2. Wie die Kommission ist der EWSA der Ansicht, dass einer sicheren Funktionsweise der Netze und Informationssysteme große Bedeutung zukommt. Funktionsstörungen in Netz- und Informationssystemen betreffen alle: Bürger, Unternehmen und öffentliche Verwaltungen. Die wichtigsten Herausforderungen im Kontext der Netz- und Informationssicherheit liegen aus heutiger Sicht im Bereich eines gesicherten Zugangs zu Diensten und Daten sowie in der Vermeidung von Unterbrechungen und der Verhinderung von unbefugtem Zugang. Ferner soll gewährleistet werden können, dass versandte, empfangene und gespeicherte Daten vollständig und unverändert bleiben, dass Informationssysteme gegen unberechtigten Zugang und gegen Angriffe geschützt werden können usw. Die Nutzer müssen der neuen Technik vertrauen können, und zwar unabhängig davon, ob sie sie innerhalb eines Unternehmens, an einer Hochschule oder privat einsetzen. Die Sicherheitsanforderungen steigen parallel zur Entwicklung der Netz- und Computerverwendung innerhalb der Gesellschaft und zur Verbreitung in den Mitgliedstaaten, in Europa und in der Welt. In diesem Zusammenhang möchte der Ausschuss insbesondere darauf hinweisen, wie wichtig eine fortschreitende Anpassung der Sicherheitsanforderungen der Gesellschaft an neue Anwendungen ist, die aus der rasch fortschreitenden Entwicklung hervorgehen. Nicht zuletzt die immer weitreichendere Verbreitung mobiler Internetzugänge und neuer Radio-Kommunikationssysteme stellt neue Anforderungen an die Sicherheit, die Verschlüsselung und die Zugangsmöglichkeiten usw.

2.3. Das Vertrauen der Anwender in die Informationstechnologie und ihre positive Einstellung zur Informationsgesellschaft und der mit ihr verbundenen Infrastruktur sind grundlegende Voraussetzungen dafür, Europa bis zum Jahre 2010 zur wettbewerbsfähigsten und dynamischsten wissensbasierten Wirtschaft der Welt zu machen. Um die Zielsetzungen des Aktionsplans eEurope in Bezug auf die Anwendung der Dienste der Informationsgesellschaft wie z. B. den elektronischen Geschäftsverkehr, Online-Dienste des Gesundheitswesens, der Verwaltung sowie elektronische Märkte usw. erreichen zu können, ist ein besserer Zugang zu einer sichereren Infrastruktur und ein stärkeres Vertrauen der Anwender in die Informationstechnologie notwendig.

2.4. Wie die Kommission feststellt, befinden sich die Mitgliedstaaten in unterschiedlichen Phasen im Bereich der Sicherheitsarbeit. Dies beruht wahrscheinlich hauptsächlich auf der unterschiedlich weit verbreiteten Anwendung elektronischer Dienste in den verschiedenen Mitgliedstaaten. Für eine uneingeschränkte Umsetzung der Informationsgesellschaft in der Gemeinschaft sind gemeinsame Maßnahmen, wie z. B. die Einführung gemeinsamer Standards, gemeinsamer Kriterien für die Zertifizierung und gemeinsame Lösungen im Bereich der Sicherheit notwendig. Es handelt sich hier um ein zentrales Bedürfnis von Einzelpersonen, Unternehmen, Hochschulen und Behörden im gesamten Gemeinschaftsgebiet. Sicherheitsprobleme können nicht länger nur Aufgabe einzelner Staaten sein. Der EWSA unterstützt daher den Vorschlag der Kommission zur Gründung einer Europäischen Agentur für Informations- und Netzsicherheit.

2.5. Ein weiteres Anliegen ist eine europäische Zusammenarbeit bei Bedrohungen der Informationsgesellschaft, die sicherheitspolitischer Natur sind und die eine Zusammenarbeit der Polizei und der Gerichte der Mitgliedstaaten erfordern. Es ist wichtig, zwischen Bedrohungen der Gesellschaft auf staatlicher Ebene und einer Bedrohung der Bürger und deren Nutzung der Dienste der Informationsgesellschaft für bestimmte Zwecke zu unterscheiden. Ersteres wird auf regionaler Ebene wohl nicht erfolgreich zu handhaben sein, sondern nur durch eine internationale Zusammenarbeit. Der Ausschuss teilt angesichts der Realität derartiger Bedrohungen die Auffassung der Kommission, dass sich die Agentur nicht mit Fragen beschäftigen sollte, die normalerweise in den Zuständigkeitsbereich der Polizei bzw. der Gerichte in den Mitgliedstaaten bzw. in deren Sicherheits- und Verteidigungsbereich fallen. Im Rahmen der künftigen Bewertung der Tätigkeit der Agentur sollte allerdings untersucht werden, ob diese Einschränkung die Arbeit der Agentur negativ beeinflusst und ob eine eindeutige Abgrenzung zwischen staatlicher Sicherheit und funktioneller Informationssicherheit berechtigt wäre.

2.6. Der EWSA betont, wie wichtig es ist, dass die Agentur ihre Tätigkeit so bald wie möglich aufnimmt. Die Eröffnung, die spätestens am 1. Januar 2004 erfolgen soll, darf nicht durch Probleme bei der Umsetzung in die Praxis, z. B. in Form von langwierigen Überlegungen über den Sitz der Agentur, hinausgezögert werden.

3. Besondere Bemerkungen

3.1. Der EWSA ist der Ansicht, dass die Aufgaben der Agentur noch umfassender sein müssen, als dies im entsprechenden Abschnitt des Vorschlags der Kommission umrissen wird. Mit der Agentur sollen nicht nur ein gemeinsames Verständnis der Probleme in der Informationsgesellschaft geschaffen und Gemeinschaftsmaßnahmen im Bereich der Netz- und Informationssicherheit gefördert werden, vielmehr soll die Agentur auch ausdrücklich die Aufgabe haben, zum Austausch von für den Bereich der Netz- und Informationssicherheit relevanten Kenntnissen und Informationen unter den Mitgliedstaaten beizutragen. Dies soll einer digitalen Kluft innerhalb der Gemeinschaft vorbeugen. Gleichzeitig sollen damit mehr Möglichkeiten der Problembewältigung im Bereich der Netz- und Informationssicherheit in den Mitgliedstaaten wie auch in der Gemeinschaft insgesamt geschaffen werden und darüber hinaus das Vertrauen der Nutzer in die Informationstechnologie und in die Informationsgesellschaft und die damit verbundene Infrastruktur gestärkt werden.

3.2. Nach Meinung der Kommission soll die organisatorische Gestaltung der Agentur eine Teilnahme sämtlicher in der Agentur vertretener Interessengruppen erleichtern. Dies ist besonders für Vertreter der Anwender aus der Wirtschaft, von den Universitäten und für Privatpersonen usw. wichtig. Selbstverständlich müssen auch die Diensteanbieter vertreten sein. Der Ausschuss unterstützt daher den Vorschlag, Vertreter der Verbraucher- wie auch der Industrie- und Wirtschaftsinteressen in den Verwaltungsrat aufzunehmen. Der Ausschuss sieht jedoch keinen Grund, diese Mitglieder vom Stimmrecht auszuschließen, besonders, da auch sie vom Rat ernannt werden. In Bezug auf die Erfahrungen aus der Anwendung der Dienste der Informationsgesellschaft und die Marktkenntnis haben Vertreter der Wirtschaft, Forscher sowie Konsumenten oft einen Vorsprung gegenüber Vertretern öffentlicher Verwaltungen.

3.3. Der EWSA unterstützt im Großen und Ganzen die Vorschläge bezüglich der Arbeitsweise der Agentur, wie sie unter Ziffer 3.5 beschrieben wird. Der Ausschuss möchte jedoch noch einige zusätzliche Anmerkungen vorbringen.

3.3.1. Im Hinblick auf das Arbeitsprogramm erachtet der Ausschuss es für notwendig, dass die Agentur auch über Mittel verfügt, um über das Arbeitsprogramm hinausgehende, plötzlich auftretende, aktuelle Fragen der Sicherheit behandeln zu können, d. h. Mittel, um auf kurzfristig eintretende Vorfälle reagieren zu können. Die erstellten Arbeitsprogramme dürfen nicht dazu führen, dass ihre langfristig geplante Arbeit die Agentur daran hindert, sich mit unvorhergesehenen, aktuellen Sicherheits- und Vertrauensfragen zu beschäftigen.

3.3.2. In Bezug auf die Frage, wer die Agentur um Stellungnahmen ersuchen kann, ist der EWSA der Ansicht, dass die wichtigsten Wirtschafts- und Verbraucherverbände der Mitgliedstaaten zu diesem Kreis gehören sollten.

3.3.3. Der Ausschuss geht davon aus, dass Vertreter der Anwender aus Wirtschafts- und Verbraucherverbänden auch in den von der Agentur eingerichteten Arbeitsgruppen tätig sein und somit direkten Einfluss auf z. B. Normungs- und Zertifizierungsmaßnahmen haben werden. Die Arbeit der Agentur in diesem Bereich setzt eine aktive Teilnahme der Wirtschaft voraus.

3.4. Im Hinblick auf die Finanzbestimmungen muss nach Ansicht des EWSA auf jeden Fall sichergestellt werden, dass die Arbeit und die finanzielle Situation der Agentur nicht von etwaigen Beiträgen aus Drittstaaten, die an der Arbeit der Agentur teilnehmen, abhängig werden.

3.5. Der Ausschuss schließt sich der Einschätzung der Kommission an, dass bereits nach drei Jahren eine Bewertung eingeleitet werden soll, um zu untersuchen, ob die vorgeschlagene institutionelle Lösung wirklich am besten geeignet ist, um Fragen der Netz- und Informationssicherheit sowie Fragen in Bezug auf das Vertrauen der Nutzer in die Informationstechnologie und die Informationsgesellschaft und die damit verbundene Infrastruktur zu behandeln.

3.6. Für die Entscheidung über den Sitz der Agentur sollen über die Kriterien, die von der Kommission aufgestellt wurden, hinaus noch folgende Voraussetzungen im Umfeld der Umgebung der neuen Agentur erfuellt sein:

- eine gut ausgebaute Infrastruktur mit hoher Übertragungskapazität;

- gut ausgebaute Online-Dienste in der öffentlichen Verwaltung;

- der elektronische Geschäftsverkehr muss ein integrierter und etablierter Teil des Wirtschaftslebens sein und die Anwender sollen insgesamt im weitesten Sinn Erfahrung im Umgang mit Informationstechnologie haben.

Somit sollte die Agentur im Umfeld einer fortgeschrittenen Informationsgesellschaft arbeiten und vor Ort Risiken und Bedrohungen verfolgen und miterleben können, deren Untersuchung und Auswertung wie die Vermittlung der daraus resultierenden Erkenntnisse usw. in den Aufgabenbereich der Agentur fallen. Insbesondere ergeben sich so Möglichkeiten für die Agentur, die Probleme einzelner Bürger und kleiner Unternehmen zu verfolgen, mit denen diese in der Informationsgesellschaft konfrontiert werden. Dabei dürfte es sich um jene Gruppen von Anwendern handeln, die normalerweise am wenigsten Chancen auf eine Berücksichtigung ihrer Interessen in der zwischenstaatlichen Zusammenarbeit haben. Somit könnte eine entsprechende Standortwahl entscheidende Impulse für eine effektive Erfuellung der Aufgaben der Agentur geben.

Brüssel, den 18. Juni 2003.

Der Präsident

des Europäischen Wirtschafts- und Sozialausschusses

Roger Briesch

(1) KOM(2001) 298 endg.

(2) Stellungnahme des Wirtschafts- und Sozialausschusses zu der Mitteilung der Kommission an den Rat und das Europäische Parlament, den Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Sicherheit der Netze und Informationen: Vorschlag für einen europäischen Politikansatz (ABl. C 48 vom 21.2.2002) sowie zu dem "Vorschlag für eine Entscheidung des Rates zur Annahme eines Mehrjahresprogramms (2003-2005) zur Überwachung und Beobachtung von eEurope, zur Verbreitung empfehlenswerter Verfahren und Verbesserung der Netz- und Informationssicherheit" (KOM(2002) 425 endg.).

(3) Stellungnahme des WSA zu der "Mitteilung der Kommission an den Rat, das Europäische Parlament, den Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen; Schaffung einer sicheren Informationsgesellschaft durch Verbesserung der Sicherheit von Informationsinfrastrukturen und Bekämpfung der Computerkriminalität" (ABl. C 311 vom 7.11.2001).

(4) Stellungnahme des WSA zum Thema "Informationen des öffentlichen Sektors: Eine Schlüsselressource für Europa - Grünbuch über die Informationen des öffentlichen Sektors in der Informationsgesellschaft" (ABl. C 169 vom 16.6.1999).

(5) Stellungnahme des WSA zu dem "Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation" (ABl. C 123 vom 25.4.2001).