Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document EESC-2020-05749-AC

    Γνωμοδότηση - Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή - Κυβερνοασφάλεια και ανθεκτικότητα των κρίσιμων οντοτήτων

    EESC-2020-05749-AC

    EL

    TEN/730

    Κυβερνοασφάλεια και ανθεκτικότητα των κρίσιμων οντοτήτων

    ΓΝΩΜΟΔΟΤΗΣΗ

    Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή

    Πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση και για την κατάργηση της οδηγίας (ΕΕ) 2016/1148 και Πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την ανθεκτικότητα των κρίσιμων οντοτήτων


    [COM(2020) 823 final - 2020/0359 (COD) - COM(2020) 829 final - 2020/0365 (COD)]

    Εισηγητής: Maurizio MENSI 

    Αίτηση γνωμοδότησης

    Ευρωπαϊκό Κοινοβούλιο, 21/01/2021 – 11/02/2021

    Συμβούλιο, 26/01/2021 – 19/02/2021

    Νομική βάση

    Άρθρο 114 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης

    Αρμόδιο όργανο

    Τμήμα «Μεταφορές, ενέργεια, υποδομές, κοινωνία των πληροφοριών»

    Έγκριση από το τμήμα

    14/04/2021

    Έγκριση από την Ολομέλεια

    27/04/2021

    Σύνοδος ολομέλειας αριθ.

    560

    Αποτέλεσμα της ψηφοφορίας
    (υπέρ/κατά/αποχές)

    243/0/5



    1.Συμπεράσματα και συστάσεις

    1.1Η ΕΟΚΕ επικροτεί την προσπάθεια της Επιτροπής για την περαιτέρω βελτίωση της ανθεκτικότητας των δημόσιων και ιδιωτικών φορέων έναντι των απειλών που εγείρονται από περιστατικά, επιθέσεις στον κυβερνοχώρο και σωματικές επιθέσεις και συμμερίζεται την ανάγκη ενίσχυσης της βιομηχανίας και της ικανότητας καινοτομίας της ΕΕ χωρίς αποκλεισμούς, σύμφωνα με μια στρατηγική βασισμένη σε τέσσερις πυλώνες: προστασία δεδομένων, θεμελιώδη δικαιώματα, ασφάλεια και κυβερνοασφάλεια.

    1.2Η ΕΟΚΕ επισημαίνει, ωστόσο, ότι η σπουδαιότητα και ο ευαίσθητος χαρακτήρας των στόχων που επιδιώκονται με τις δύο προτάσεις θα καθιστούσαν τον κανονισμό προτιμότερο ως μέσο από την οδηγία. Δεν υπάρχουν όμως ενδείξεις σχετικά με τους λόγους για τους οποίους η Επιτροπή δεν έκρινε σκόπιμο να συμπεριλάβει αυτό το ενδεχόμενο ούτε καν μεταξύ των ποικίλων εξεταζόμενων επιλογών.

    1.3Η ΕΟΚΕ διαπιστώνει ότι ορισμένες από τις διατάξεις των δύο προτάσεων οδηγίας αλληλεπικαλύπτονται διότι είναι στενά συνδεδεμένες και αλληλοσυμπληρούμενες, καθώς η μία εστιάζει πρωτίστως στα χαρακτηριστικά της κυβερνοασφάλειας και η άλλη στην υλική ασφάλεια. Ζητεί, ως εκ τούτου, να διερευνηθεί η σκοπιμότητα συγχώνευσης των δύο προτάσεων σε ένα ενιαίο κείμενο, για λόγους απλούστευσης και λειτουργικής συγκέντρωσης.

    1.4Η ΕΟΚΕ συμφωνεί με την προτεινόμενη προσέγγιση για την κατάργηση της διάκρισης μεταξύ φορέων εκμετάλλευσης βασικών υπηρεσιών και παρόχων ψηφιακών υπηρεσιών, η οποία προβλέπεται στην αρχική οδηγία σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών (οδηγία ΑΔΠ), αλλά, όσον αφορά το πεδίο εφαρμογής της, κρίνει σκόπιμο τον επακριβέστερο και σαφέστερο προσδιορισμό των προσώπων που υποχρεούνται να τηρούν την οδηγία. Ειδικότερα, τα κριτήρια διάκρισης μεταξύ «βασικών» και «σημαντικών» οντοτήτων, καθώς και οι απαιτήσεις που οφείλουν να πληρούν, θα πρέπει να προσδιοριστούν επακριβέστερα, προκειμένου να αποτραπούν αποκλίνουσες προσεγγίσεις σε εθνικό επίπεδο που συνεπάγονται παρακώλυση του ανταγωνισμού και της ελεύθερης κυκλοφορίας εμπορευμάτων και υπηρεσιών, με κίνδυνο να ζημιωθούν οι επιχειρήσεις και να θιγούν οι εμπορικές συναλλαγές.

    1.5Η ΕΟΚΕ, λόγω της αντικειμενικής πολυπλοκότητας του συστήματος που περιγράφεται στις δύο προτάσεις, θεωρεί σημαντικό να προσδιορίσει η Επιτροπή επακριβώς το πεδίο εφαρμογής των δύο κανονιστικών συνόλων, ιδίως όταν προτείνονται διαφορετικές διατάξεις για τη διευθέτηση της ίδιας κατάστασης ή οντότητας.

    1.6Η ΕΟΚΕ επισημαίνει ότι η σαφήνεια κάθε νομοθετικής διάταξης αποτελεί αδιαπραγμάτευτο στόχο, εκ παραλλήλου με τη μείωση της γραφειοκρατίας και του κατακερματισμού μέσω της απλούστευσης των διαδικασιών, των απαιτήσεων ασφάλειας και των υποχρεώσεων αναφοράς περιστατικών. Προς όφελος των πολιτών και των επιχειρήσεων, θα ήταν επίσης σκόπιμο να συγχωνευθούν οι δύο προτάσεις οδηγίας σε ένα ενιαίο κείμενο, αποφεύγοντας έτσι την ενίοτε περίπλοκη ερμηνεία και εφαρμογή τους.

    1.7Η ΕΟΚΕ αναγνωρίζει τον καθοριστικό ρόλο που υποδεικνύεται στην πρόταση οδηγίας για τα διοικητικά όργανα των «βασικών» και των «σημαντικών» οντοτήτων, τα μέλη των οποίων οφείλουν να παρακολουθούν ειδικά προγράμματα κατάρτισης, σε τακτική βάση, για την απόκτηση επαρκών γνώσεων και δεξιοτήτων προκειμένου να γνωρίζουν και να διαχειρίζονται τους διάφορους κινδύνους στον κυβερνοχώρο και να αξιολογούν τον αντίκτυπό τους. Εν προκειμένω, κρίνεται σκόπιμο να καθοριστεί στην πρόταση το ελάχιστο περιεχόμενο των εν λόγω γνώσεων και δεξιοτήτων για την παροχή καθοδήγησης σε ευρωπαϊκό επίπεδο σχετικά με το ποιες δεξιότητες κατάρτισης θεωρούνται ενδεδειγμένες, καθώς και για την αποτροπή της ενδεχόμενης διαφοροποίησης του περιεχομένου των ποικίλων προγραμμάτων κατάρτισης από τη μια χώρα στην άλλη.

    1.8Η ΕΟΚΕ συμφωνεί με τον σημαντικό ρόλο που διαδραματίζει ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) στη συνολική θεσμική και επιχειρησιακή δομή της κυβερνοασφάλειας σε ευρωπαϊκό επίπεδο. Θεωρεί επ’ αυτού σκόπιμο ο εν λόγω οργανισμός, εκτός από την ανά διετία έκδοση έκθεσης σχετικά με την κατάσταση της κυβερνοασφάλειας στην Ένωση, να δημοσιεύει περιοδικές και επικαιροποιημένες πληροφορίες στο διαδίκτυο σχετικά με περιστατικά ασφάλειας υπολογιστών, επιπλέον των τομεακών ενημερωτικών ανακοινώσεων, με στόχο την παροχή ενός πρόσθετου χρήσιμου εργαλείου πληροφόρησης στα ενδιαφερόμενα μέρη που καλύπτονται από την πρόταση αναθεώρησης της οδηγίας σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών (οδηγία ΑΔΠ 2) για την καλύτερη προστασία των επιχειρήσεών τους.

    1.9Η ΕΟΚΕ συμφωνεί με την πρόταση να ανατεθεί στον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) η δημιουργία ευρωπαϊκού μητρώου τρωτών σημείων και θεωρεί ότι η επικοινωνία σχετικά με τα τρωτά σημεία και τα σοβαρότερα περιστατικά πρέπει να καταστεί υποχρεωτική και όχι προαιρετική προκειμένου να αποτελέσει χρήσιμο εργαλείο και για τους αναθέτοντες φορείς στο πλαίσιο των διαδικασιών σύναψης συμβάσεων σε ευρωπαϊκό επίπεδο, συμπεριλαμβανομένων των προϊόντων και των τεχνολογιών 5G.

    2.Γενικές παρατηρήσεις

    2.1Στις 16 Δεκεμβρίου 2020, υποβλήθηκε η νέα στρατηγική της ΕΕ για την ασφάλεια στον κυβερνοχώρο από κοινού με δύο νομοθετικές προτάσεις: την πρόταση αναθεώρησης της οδηγίας (ΕΕ) 2016/1148 1 σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών (οδηγία ΑΔΠ 2) και μια νέα οδηγία για την ανθεκτικότητα των κρίσιμων οντοτήτων. Η στρατηγική, η οποία αποτελεί βασικό στοιχείο της ανακοίνωσης με τίτλο «Διαμόρφωση του ψηφιακού μέλλοντος της Ευρώπης» 2 , του σχεδίου ανάκαμψης για την Ευρώπη και της στρατηγικής της ΕΕ για την Ένωση Ασφάλειας, έχει ως στόχο να ενισχύσει τη συλλογική ανθεκτικότητα της Ευρώπης έναντι των κυβερνοαπειλών και να διασφαλίσει ότι όλοι οι πολίτες και οι επιχειρήσεις θα μπορούν να επωφεληθούν πλήρως από αξιόπιστες και ασφαλείς ψηφιακές υπηρεσίες και εργαλεία.

    2.2Τα υφιστάμενα μέτρα σε επίπεδο ΕΕ που αποσκοπούν στην προστασία των βασικών υπηρεσιών και υποδομών τόσο από κυβερνοκινδύνους όσο και από φυσικούς κινδύνους πρέπει να επικαιροποιηθούν. Οι κίνδυνοι που σχετίζονται με την ασφάλεια πληροφοριών εξακολουθούν να εξελίσσονται με την αυξανόμενη ψηφιοποίηση και διασύνδεση. Εξ ου και η ανάγκη αναθεώρησης του ισχύοντος κανονιστικού πλαισίου σύμφωνα με τη λογική της στρατηγικής της ΕΕ για την ασφάλεια, ξεπερνώντας το δίλημμα μεταξύ διαδικτυακών και μη διαδικτυακών απειλών και αποφεύγοντας μια άκαμπτη προσέγγιση βασισμένη σε στεγανά.

    2.3Οι δύο προτάσεις οδηγίας καλύπτουν ευρύ φάσμα τομέων και αποσκοπούν στην αντιμετώπιση των υφιστάμενων και μελλοντικών διαδικτυακών και μη διαδικτυακών κινδύνων που απορρέουν από κυβερνοεπιθέσεις και εγκληματικές επιθέσεις, φυσικές καταστροφές και άλλα περιστατικά, αξιοποιώντας επίσης τα διδάγματα της τρέχουσας πανδημίας, η οποία κατέδειξε ότι οι κοινωνίες και οι οικονομίες που εξαρτώνται ολοένα και περισσότερο από ψηφιακές λύσεις είναι ευάλωτες και εκτεθειμένες σε ταχέως εξελισσόμενες και αυξανόμενες απειλές στον κυβερνοχώρο, ιδίως όσον αφορά τις ομάδες που διατρέχουν κίνδυνο κοινωνικού αποκλεισμού, όπως τα άτομα με αναπηρία. Η κατάσταση αυτή ώθησε την ΕΕ να αναλάβει δράση για τη διαφύλαξη ενός παγκόσμιου και ανοικτού κυβερνοχώρου, βασισμένου όμως σε ισχυρές εγγυήσεις ασφάλειας, τεχνολογικής κυριαρχίας και ηγετικής θέσης, αναπτύσσοντας επιχειρησιακές ικανότητες πρόληψης, αποτροπής και αντιμετώπισης δυνητικών απειλών μέσω αυξημένης συνεργασίας, με σεβασμό των προνομίων των κρατών μελών στον τομέα της εθνικής ασφάλειας.

    3.Η πρόταση αναθεώρησης της οδηγίας (ΕΕ) 2016/1148 σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών (οδηγία ΑΔΠ)

    3.1Η οδηγία ΑΔΠ (ΕΕ) 2016/1148, η πρώτη οριζόντια νομοθετική πράξη της ΕΕ, αποσκοπούσε στη βελτίωση της ανθεκτικότητας των συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση για την αντιμετώπιση των κινδύνων στον κυβερνοχώρο. Ωστόσο, παρά τα επιτευχθέντα ικανοποιητικά αποτελέσματα, η οδηγία ΑΔΠ ανέδειξε επίσης ορισμένους περιορισμούς, καθώς ο ψηφιακός μετασχηματισμός της κοινωνίας ―ο οποίος εντάθηκε από την κρίση COVID-19― διεύρυνε το τοπίο των απειλών και επέτεινε την τρωτότητα των ολοένα και πιο αλληλεξαρτώμενων κοινωνιών μας απέναντι σε μείζονες και απρόβλεπτους κινδύνους. Ανέκυψαν νέες προκλήσεις που απαιτούν ενδεδειγμένες και καινοτόμους απαντήσεις. Τα πορίσματα της ευρείας διαβούλευσης που πραγματοποιήθηκε με τους ενδιαφερομένους φορείς κατέδειξαν το ανεπαρκές επίπεδο ασφάλειας στον κυβερνοχώρο των ευρωπαϊκών εταιρειών, τη μη συνεκτική εφαρμογή των κανόνων από τα κράτη στους διάφορους τομείς και την ελλιπή κατανόηση των κυριότερων απειλών και προκλήσεων.

    3.2Η πρόταση οδηγίας ΑΔΠ 2 συνδέεται στενά με άλλες δύο πρωτοβουλίες: την πρόταση κανονισμού σχετικά με τον ψηφιακό χρηματοπιστωτικό τομέα (Πράξη σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα των χρηματοπιστωτικών υπηρεσιών/DORA) και την πρόταση οδηγίας σχετικά με τις κρίσιμες οντότητες, η οποία επεκτείνει σε νέους τομείς το πεδίο εφαρμογής της οδηγίας 2008/114 3 σχετικά με τους τομείς της ενέργειας και των μεταφορών, εστιάζοντας π.χ. στον τομέα της υγείας και στις οντότητες που διεξάγουν δραστηριότητες έρευνας και ανάπτυξης φαρμάκων. Η οδηγία σχετικά με τις κρίσιμες οντότητες, η τομεακή κάλυψη της οποίας είναι πανομοιότυπη με εκείνη της οδηγίας ΑΔΠ 2 όσον αφορά τις κρίσιμες οντότητες (παράρτημα 1 της οδηγίας ΑΔΠ 2), μετατοπίζει την έμφασή της, αφενός, από την προστασία των υλικών στοιχείων στην ανθεκτικότητα των οντοτήτων που τα διαχειρίζονται και, αφετέρου, από τον προσδιορισμό των ευρωπαϊκών υποδομών ζωτικής σημασίας με διασυνοριακή διάσταση στον προσδιορισμό των υποδομών ζωτικής σημασίας σε εθνικό επίπεδο. Η οδηγία ΑΔΠ 2 είναι επίσης συνεκτική και συμπληρωματική με άλλα ήδη υφιστάμενα κανονιστικά μέσα, όπως ο ευρωπαϊκός κώδικας ηλεκτρονικών επικοινωνιών, ο γενικός κανονισμός για την προστασία των δεδομένων προσωπικού χαρακτήρα και ο κανονισμός σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης (eIDAS).

    3.3Η πρόταση οδηγίας ΑΔΠ 2, σύμφωνα με το πρόγραμμα βελτίωσης της καταλληλότητας και της αποδοτικότητας του κανονιστικού πλαισίου (REFIT), αποσκοπεί στη μείωση του κανονιστικού φόρτου για τις αρμόδιες αρχές και του κόστους συμμόρφωσης για τις δημόσιες και ιδιωτικές οντότητες, καθώς και στον εκσυγχρονισμό του νομικού πλαισίου αναφοράς. Επιπλέον, ενισχύει τις απαιτήσεις ασφάλειας που επιβάλλονται στις επιχειρήσεις, αντιμετωπίζει τα ζητήματα της ασφάλειας των αλυσίδων εφοδιασμού, εξορθολογίζει τις υποχρεώσεις αναφοράς περιστατικών, προβλέπει αυστηρότερα εποπτικά μέτρα για τις εθνικές αρχές και επιδιώκει την εναρμόνιση των καθεστώτων επιβολής κυρώσεων στα κράτη μέλη.

    3.4Η οδηγία ΑΔΠ 2 συμβάλλει επίσης στην ενίσχυση της ανταλλαγής πληροφοριών και της συνεργασίας για τη διαχείριση κρίσεων στον κυβερνοχώρο τόσο σε εθνικό όσο και σε ευρωπαϊκό επίπεδο και καταργεί τη διάκριση μεταξύ φορέων εκμετάλλευσης βασικών υπηρεσιών και παρόχων ψηφιακών υπηρεσιών που προβλέπεται από την οδηγία ΑΔΠ. Στο πεδίο εφαρμογής της εμπίπτουν οι μεσαίες έως μεγάλες επιχειρήσεις που δραστηριοποιούνται σε τομείς προσδιοριζόμενους βάσει της κρισιμότητάς τους για την οικονομία και την κοινωνία. Οι εν λόγω οντότητες, είτε δημόσιες είτε ιδιωτικές, χωρίζονται σε «βασικές» και σε «σημαντικές» οντότητες, οι οποίες υπόκεινται σε διαφορετικά καθεστώτα εποπτείας. Ωστόσο, παρέχεται στα κράτη μέλη δυνατότητα συμπερίληψης και μικρότερων οντοτήτων που εμφανίζουν χαρακτηριστικά υψηλού κινδύνου.

    3.5Προβλέπεται η δημιουργία ενός δικτύου κέντρων επιχειρήσεων ασφάλειας σε επίπεδο ΕΕ, τροφοδοτούμενου από την τεχνητή νοημοσύνη (ΤΝ), το οποίο θα αποτελεί πραγματική «ασπίδα κυβερνοασφάλειας» για την ΕΕ, ικανή να εντοπίζει εγκαίρως ενδείξεις κυβερνοεπίθεσης και να καθιστά δυνατή την ανάληψη προορατικής δράσης πριν από την πρόκληση βλάβης. Η σημασία της τεχνητής νοημοσύνης για την ασφάλεια στον κυβερνοχώρο προβάλλεται επίσης στην έκθεση της Εθνικής Επιτροπής Ασφάλειας για την Τεχνητή Νοημοσύνης (National Security Commission on Artificial Intelligence/NSCAI) των ΗΠΑ που παρουσιάστηκε την 1η Μαρτίου 2021. Ως εκ τούτου, τα κράτη μέλη και οι φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας θα μπορούν να έχουν άμεση πρόσβαση σε πληροφορίες σχετικά με τις απειλές, στο πλαίσιο ενός ευρωπαϊκού δικτύου ασφάλειας με τη μορφή πληροφοριών για απειλές ("Threat Intelligence").

    3.6Η Επιτροπή εξετάζει επίσης το πρόβλημα της ασφάλειας των αλυσίδων εφοδιασμού και των σχέσεων με τους προμηθευτές: τα κράτη μέλη, σε συνεργασία με την Επιτροπή και τον ENISA, μπορούν να διενεργούν συντονισμένες εκτιμήσεις κινδύνου στις κρίσιμες αλυσίδες εφοδιασμού, βάσει της επιτυχημένης προσέγγισης για τα δίκτυα 5G που προβλέπεται στη σύσταση της 26ης Μαρτίου 2019 4 .

    3.7Η πρόταση ενισχύει και εξορθολογίζει τις υποχρεώσεις ασφάλειας και αναφοράς περιστατικών που υπέχουν οι επιχειρήσεις με την επιβολή κοινής προσέγγισης για τη διαχείριση κινδύνων σε συνδυασμό με την εφαρμογή ελάχιστου καταλόγου βασικών χαρακτηριστικών ασφάλειας. Προβλέπονται επακριβέστερες διατάξεις όσον αφορά τη διαδικασία αναφοράς περιστατικών, το περιεχόμενο των αναφορών και τις προθεσμίες. Σε αυτό το πλαίσιο, η πρόταση σκιαγραφεί μια προσέγγιση δύο σταδίων: οι επιχειρήσεις διαθέτουν 24 ώρες για να υποβάλουν μια πρώτη συνοπτική έκθεση, ακολουθούμενη από τελική λεπτομερή έκθεση το αργότερο ένα μήνα μετά.

    3.8Προβλέπεται τα κράτη μέλη να υποδεικνύουν τις εθνικές αρχές που είναι αρμόδιες για τη διαχείριση κρίσεων, με συγκεκριμένα σχέδια, και να συσταθεί ένα νέο δίκτυο επιχειρησιακής συνεργασίας, το δίκτυο οργανώσεων διασύνδεσης για τις κρίσεις στον κυβερνοχώρο (EU-CyCLONe). Ενισχύεται ο ρόλος της ομάδας συνεργασίας στη διαμόρφωση των στρατηγικών αποφάσεων και δημιουργείται μητρώο τρωτών σημείων που εντοπίζονται στην ΕΕ, υπό τη διαχείριση του ENISA· επιτείνεται επίσης τόσο η ανταλλαγή πληροφοριών όσο και η συνεργασία μεταξύ των αρμόδιων αρχών των κρατών μελών, συμπεριλαμβανομένης της επιχειρησιακής συνεργασίας για τη διαχείριση κρίσεων στον κυβερνοχώρο.

    3.9Εισάγονται αυστηρότερα εποπτικά μέτρα για τις εθνικές αρχές και αυστηρότερες απαιτήσεις επιβολής και τίθεται ως στόχος η εναρμόνιση των καθεστώτων επιβολής κυρώσεων σε όλα τα κράτη μέλη.

    3.10Επ’ αυτού, η προτεινόμενη οδηγία θεσπίζει κατάλογο διοικητικών κυρώσεων για παραβίαση των υποχρεώσεων διαχείρισης κινδύνων και αναφοράς περιστατικών στον τομέα της ασφάλειας υπολογιστών. Προβλέπονται διατάξεις σχετικά με την ευθύνη των φυσικών προσώπων που κατέχουν θέσεις εκπροσώπησης ή ηγετικές θέσεις στις επιχειρήσεις που εμπίπτουν στο πεδίο εφαρμογής της οδηγίας. Υπό αυτήν την έννοια, η πρόταση βελτιώνει τον τρόπο με τον οποίο η ΕΕ προλαμβάνει, διαχειρίζεται και αντιμετωπίζει ευρείας κλίμακας περιστατικά και κρίσεις ασφάλειας υπολογιστών, προβλέποντας σαφείς αρμοδιότητες, κατάλληλο σχεδιασμό και ενισχυμένη συνεργασία σε επίπεδο ΕΕ.

    3.11Τα κράτη μέλη αποκτούν τη δυνατότητα να εποπτεύουν από κοινού την εφαρμογή των κανόνων της ΕΕ και να παρέχουν αμοιβαία συνδρομή σε περίπτωση διασυνοριακών προβλημάτων, να διεξάγουν πιο διαρθρωμένο διάλογο με τον ιδιωτικό τομέα, να συντονίζουν τη γνωστοποίηση των τρωτών σημείων του λογισμικού και του υλισμικού που διατίθενται στην εσωτερική αγορά και να αξιολογούν με συντονισμένο τρόπο τους κινδύνους και τις απειλές για την ασφάλεια που σχετίζονται με τις νέες τεχνολογίες, όπως στην περίπτωση του 5G.

    4.Η πρόταση οδηγίας για την ανθεκτικότητα των κρίσιμων οντοτήτων

    4.1Η ΕΕ θέσπισε το 2006 το Ευρωπαϊκό Πρόγραμμα Προστασίας της Υποδομής Ζωτικής Σημασίας (ΕΠΠΥΖΣ) και εξέδωσε το 2008 την οδηγία για τις ευρωπαϊκές υποδομές ζωτικής σημασίας (ΕΥΖΣ), η οποία εφαρμόζεται στους τομείς της ενέργειας και των μεταφορών. Τόσο η στρατηγική της ΕΕ για την Ένωση Ασφάλειας 2020-2025 5 που εγκρίθηκε από την Ευρωπαϊκή Επιτροπή όσο και το προσφάτως εγκριθέν θεματολόγιο για την καταπολέμηση της τρομοκρατίας υπογραμμίζουν τη σημασία της διασφάλισης της ανθεκτικότητας των κρίσιμων οντοτήτων απέναντι σε φυσικούς και ψηφιακούς κινδύνους. Ωστόσο, τόσο η αξιολόγηση που διενεργήθηκε το 2019 σχετικά με την εφαρμογή της οδηγίας ΕΥΖΣ όσο και τα πορίσματα της εκτίμησης επιπτώσεων της υπό εξέταση πρότασης κατέδειξαν ότι τα υφιστάμενα ευρωπαϊκά και εθνικά μέτρα δεν διασφαλίζουν επαρκώς ότι οι φορείς εκμετάλλευσης είναι σε θέση να αντιμετωπίσουν τους υφιστάμενους κινδύνους. Εξ ου και τα αιτήματα του Συμβουλίου και του Κοινοβουλίου προς την Επιτροπή για την επανεξέταση της τρέχουσας προσέγγισης όσον αφορά την προστασία των κρίσιμων οντοτήτων.

    4.2Η στρατηγική της ΕΕ για την Ένωση Ασφάλειας, η οποία εγκρίθηκε από την Επιτροπή στις 24 Ιουλίου 2020, αναγνώρισε την αυξημένη διασύνδεση και αλληλεξάρτηση των υλικών και των ψηφιακών υποδομών, τονίζοντας συγχρόνως την ανάγκη πιο συνεκτικής και ομοιογενούς προσέγγισης μεταξύ της οδηγίας ΕΥΖΣ και της οδηγίας ΑΔΠ. Υπό αυτήν την έννοια, η πρόταση οδηγίας σχετικά με τις κρίσιμες οντότητες, της οποίας το αντικειμενικό πεδίο αναφοράς είναι το ίδιο με εκείνο της οδηγίας ΑΔΠ 2 ως προς τις βασικές οντότητες, επεκτείνει το αρχικό πεδίο εφαρμογής της οδηγίας 2008/114, το οποίο περιοριζόταν στους τομείς της ενέργειας και των μεταφορών, στους ακόλουθους τομείς: τράπεζες, υποδομές χρηματοπιστωτικών αγορών, υγεία, πόσιμο νερό, λύματα, ψηφιακές υποδομές, δημόσια διοίκηση και διάστημα, ενώ προβλέπει επιπλέον σαφείς αρμοδιότητες, κατάλληλο σχεδιασμό και αυξημένη συνεργασία. Κρίνεται εν προκειμένω σκόπιμο να θεσπιστεί ένα πλαίσιο αναφοράς για όλους τους κινδύνους και να υποστηριχθούν τα κράτη μέλη στην προσπάθειά τους να διασφαλίσουν ότι οι κρίσιμες οντότητες είναι σε θέση να προλαμβάνουν, να ανθίστανται και να απορροφούν τις συνέπειες των περιστατικών, ανεξάρτητα από το αν οι κίνδυνοι προκύπτουν από φυσικούς κινδύνους, περιστατικά, τρομοκρατικές ενέργειες, απειλές εκ των έσω ή καταστάσεις έκτακτης ανάγκης στον τομέα της δημόσιας υγείας, όπως η τρέχουσα πανδημία.

    4.3Κάθε κράτος μέλος οφείλει να θεσπίζει εθνική στρατηγική για τη διασφάλιση της ανθεκτικότητας των κρίσιμων οντοτήτων, να διενεργεί τακτικές εκτιμήσεις κινδύνων και να προσδιορίζει, βάσει αυτών, τις κρίσιμες οντότητες. Οι κρίσιμες οντότητες υποχρεούνται επίσης να διενεργούν εκτιμήσεις κινδύνου, να λαμβάνουν ενδεδειγμένα τεχνικά και οργανωτικά μέτρα για την ενίσχυση της ανθεκτικότητας και να αναφέρουν τα περιστατικά στις εθνικές αρχές. Οι οντότητες που παρέχουν υπηρεσίες τουλάχιστον προς ή εντός του ενός τρίτου των κρατών μελών αποτελούν αντικείμενο ειδικής εποπτείας, η οποία περιλαμβάνει ειδικές αποστολές για την αρωγή τους που διοργανώνονται από την Επιτροπή.

    4.4Η πρόταση οδηγίας σχετικά με τις κρίσιμες οντότητες προβλέπει διάφορες μορφές υποστήριξης των κρατών μελών και των κρίσιμων οντοτήτων, επισκόπηση των κινδύνων σε επίπεδο ΕΕ, βέλτιστες πρακτικές και μεθοδολογίες, καθώς και δραστηριότητες κατάρτισης και ασκήσεις δοκιμής της ανθεκτικότητας των κρίσιμων οντοτήτων. Το σύστημα διασυνοριακής συνεργασίας περιλαμβάνει επίσης μια ειδική ομάδα εμπειρογνωμόνων, την ομάδα για την ανθεκτικότητα των κρίσιμων οντοτήτων, που αποσκοπεί στη διευκόλυνση της στρατηγικής συνεργασίας και της ανταλλαγής πληροφοριών μεταξύ των κρατών μελών.

    5.Προτάσεις τροποποίησης της υπό εξέταση νομοθετικής πρότασης

    5.1Η ΕΟΚΕ επικροτεί την προσπάθεια της Επιτροπής για την περαιτέρω βελτίωση της ανθεκτικότητας των δημόσιων και ιδιωτικών φορέων έναντι των απειλών που εγείρονται τόσο από επιθέσεις στον κυβερνοχώρο όσο και από σωματικές επιθέσεις. Η προσπάθεια αυτή είναι ιδιαίτερα σημαντική και αξιοσημείωτη, ιδίως υπό το πρίσμα του ταχέος ψηφιακού μετασχηματισμού που επέφερε η έξαρση της νόσου COVID-19. Συμμερίζεται επίσης την ανάγκη, όπως επισημαίνεται στην ανακοίνωση της Επιτροπής με τίτλο «Διαμόρφωση του ψηφιακού μέλλοντος της Ευρώπης», η Ευρώπη να αποκομίσει όλα τα οφέλη της ψηφιακής εποχής και να ενισχύσει τη βιομηχανία της, ιδίως όσον αφορά τις μικρές και μεσαίες επιχειρήσεις, και την ικανότητα καινοτομίας της χωρίς αποκλεισμούς, σύμφωνα με μια στρατηγική βασισμένη σε τέσσερις πυλώνες: προστασία δεδομένων, θεμελιώδη δικαιώματα, ασφάλεια και κυβερνοασφάλεια, ως ουσιώδεις προϋποθέσεις για μια κοινωνία βασισμένη στην ισχύ των δεδομένων.

    5.2Ωστόσο, σύμφωνα με τα πορίσματα της εκτίμησης επιπτώσεων και της διαβούλευσης που προηγήθηκε της πρότασης οδηγίας ΑΔΠ 2, καθώς και δεδομένου του επανειλημμένα επισημανθέντος στόχου της αποφυγής του κατακερματισμού των κανόνων που έχουν θεσπιστεί σε εθνικό επίπεδο (όπως ζητείται επίσης στην ανακοίνωση της 4ης Οκτωβρίου 2017 σχετικά με την εφαρμογή της οδηγίας ΑΔΠ 6 ), η ΕΟΚΕ σημειώνει ότι δεν προκύπτουν οι λόγοι για τους οποίους η Επιτροπή δεν έκρινε σκόπιμο να προτείνει την έκδοση κανονισμού αντί οδηγίας, ούτε καν μεταξύ των εξεταζόμενων επιλογών.

    5.3Η ΕΟΚΕ διαπιστώνει ότι ορισμένες από τις διατάξεις των δύο προτάσεων οδηγίας αλληλεπικαλύπτονται διότι είναι στενά συνδεδεμένες και αλληλοσυμπληρούμενες, καθώς η μία εστιάζει πρωτίστως στα χαρακτηριστικά της κυβερνοασφάλειας και η άλλη στην υλική ασφάλεια. Θα πρέπει δε να σημειωθεί ότι οι κρίσιμες οντότητες που περιλαμβάνονται στην οδηγία για την ανθεκτικότητα των κρίσιμων οντοτήτων καλύπτουν τους ίδιους τομείς και συμπίπτουν με τις «βασικές» οντότητες που αναφέρονται στην οδηγία ΑΔΠ 2 7 . Επιπλέον, όλες οι κρίσιμες οντότητες που περιλαμβάνονται στη σχετική οδηγία υπόκεινται στις απαιτήσεις κυβερνοασφάλειας που προβλέπονται από την οδηγία ΑΔΠ 2. Αμφότερες οι προτάσεις προβλέπουν επίσης ορισμένες «ρήτρες γέφυρας» για τη διασφάλιση της σύνδεσής τους: διατάξεις για ενισχυμένη συνεργασία μεταξύ των αρχών, ανταλλαγή πληροφοριών σχετικά με τις δραστηριότητες εποπτείας, κοινοποίηση στις αρμόδιες αρχές για την ασφάλεια των συστημάτων δικτύου και πληροφοριών (αρχές ΑΔΠ 2) των στοιχείων ταυτοποίησης των κρίσιμων οντοτήτων κατά την έννοια της οδηγίας σχετικά με τις κρίσιμες οντότητες, καθώς και τακτικές συνεδριάσεις των αντίστοιχων ομάδων συνεργασίας, τουλάχιστον μία φορά ετησίως. Οι δύο προτάσεις έχουν επίσης την ίδια νομική βάση, το άρθρο 114 της ΣΛΕΕ, το οποίο αποσκοπεί στη λειτουργία της εσωτερικής αγοράς μέσω της προσέγγισης των εθνικών κανόνων, όπως ερμηνεύεται μεταξύ πολλών άλλων από το Δικαστήριο της ΕΕ στην απόφασή του στην υπόθεση C-58/08, Vodafone κ.λπ. Ως εκ τούτου, ζητείται να διερευνηθεί εάν και κατά πόσον είναι σκόπιμο να συγχωνευθούν οι δύο προτάσεις σε ένα ενιαίο κείμενο, για λόγους απλούστευσης και λειτουργικής συγκέντρωσης.

    5.4Η ΕΟΚΕ συμφωνεί με την προσέγγιση για την κατάργηση της διάκρισης μεταξύ φορέων εκμετάλλευσης βασικών υπηρεσιών και παρόχων ψηφιακών υπηρεσιών, η οποία προβλέπεται στην αρχική οδηγία σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών (οδηγία ΑΔΠ), αλλά, όσον αφορά το πεδίο εφαρμογής της, κρίνει σκόπιμο τον επακριβέστερο και σαφέστερο προσδιορισμό των προσώπων που υποχρεούνται να τηρούν την οδηγία. Εκτός από τις αναφορές που πραγματοποιούνται στα παραρτήματα I και II, η οδηγία ΑΔΠ 2 παραπέμπει σε ορισμένα κριτήρια, τα οποία προϋποθέτουν ευαίσθητες ποιοτικές και ποσοτικές εκτιμήσεις που επιδέχονται διαφορετικής εφαρμογής σε εθνικό επίπεδο, με κίνδυνο επαναφοράς της προς αποφυγήν κατακερματισμένης κατάστασης με την υπό εξέταση κανονιστική παρέμβαση. Κρίνεται πράγματι σημαντικό να αποτραπούν μη εναρμονισμένες προσεγγίσεις σε εθνικό επίπεδο, οι οποίες θέτουν φραγμούς στον ανταγωνισμό και στην ελεύθερη κυκλοφορία εμπορευμάτων και υπηρεσιών, με κίνδυνο να ζημιωθούν οι επιχειρήσεις και να θιγούν οι εμπορικές συναλλαγές.

    5.5Η οδηγία ΑΔΠ 2 προβλέπει ότι οι κρίσιμοι φορείς σε τομείς που θεωρούνται «ουσιώδεις» σύμφωνα με την πρόταση υπό εξέταση υπόκεινται επίσης σε γενικές υποχρεώσεις ενίσχυσης της ανθεκτικότητας, με ιδιαίτερη έμφαση στους κινδύνους εκτός κυβερνοχώρου κατά την έννοια της οδηγίας σχετικά με τις κρίσιμες οντότητες. Ωστόσο, αυτή η τελευταία διευκρινίζει ρητά ότι δεν ισχύει για θέματα που καλύπτονται από την οδηγία ΑΔΠ 2. Πράγματι, η οδηγία σχετικά με τις κρίσιμες οντότητες προβλέπει ότι, εφόσον η ασφάλεια υπολογιστών αντιμετωπίζεται επαρκώς στην οδηγία ΑΔΠ 2, τα ζητήματα που καλύπτονται από αυτήν θα πρέπει να εξαιρούνται από το πεδίο εφαρμογής της, χωρίς να θίγεται το ειδικό καθεστώς των οντοτήτων του τομέα των ψηφιακών υποδομών. Η οδηγία σχετικά με τις κρίσιμες οντότητες επισημαίνει στη συνέχεια ότι οι οντότητες που ανήκουν στον τομέα των ψηφιακών υποδομών βασίζονται κυρίως σε συστήματα δικτύου και πληροφοριών και εμπίπτουν στο πεδίο εφαρμογής της οδηγίας ΑΔΠ 2, η οποία διέπει επίσης τη φυσική ασφάλεια των εν λόγω συστημάτων στο πλαίσιο των οικείων υποχρεώσεων διαχείρισης κινδύνων σχετικών με την ασφάλεια υπολογιστών και αναφοράς περιστατικών. Ταυτόχρονα, η εν λόγω οδηγία αναφέρει ότι δεν αποκλείεται να ισχύουν γι’ αυτές ειδικές διατάξεις της οδηγίας σχετικά με τις κρίσιμες οντότητες.

    5.6Σε αυτό το πολύπλοκο πλαίσιο, η ΕΟΚΕ θεωρεί απολύτως απαραίτητο να προσδιορίσει η Επιτροπή επακριβώς το πεδίο εφαρμογής των δύο κανονιστικών συνόλων, ιδίως όταν οι προτεινόμενες διατάξεις συμβάλλουν στη διευθέτηση της ίδιας κατάστασης ή οντότητας.

    5.7Η σαφήνεια κάθε νομοθετικής διάταξης, ιδίως όταν αυτή περιλαμβάνεται σε κείμενα τόσο εκτενή και πολύπλευρα όσο τα υπό εξέταση, πρέπει να αποτελεί αδιαπραγμάτευτο στόχο σε όλα τα επίπεδα, εκ παραλλήλου με τη μείωση της γραφειοκρατίας και του κατακερματισμού μέσω της απλούστευσης των διαδικασιών, των απαιτήσεων ασφάλειας και των υποχρεώσεων αναφοράς περιστατικών. Θα πρέπει επίσης να διασφαλιστεί ότι ο πολλαπλασιασμός των φορέων στους οποίους ανατίθενται συγκεκριμένα καθήκοντα δεν υπονομεύει τον σαφή προσδιορισμό των αρμοδιοτήτων τους και δεν αποβαίνει εις βάρος των επιδιωκόμενων στόχων. Για τον λόγο αυτό θα ήταν σκόπιμο, προς όφελος των πολιτών και των επιχειρήσεων,να συγχωνευθούν οι δύο προτάσεις οδηγίας σε ένα ενιαίο κείμενο, αποφεύγοντας έτσι την ενίοτε περίπλοκη ερμηνεία και εφαρμογή τους.

    5.8Σε διάφορα σημεία της οδηγίας ΑΔΠ 2 γίνεται αναφορά στις διατάξεις άλλων νομικών πράξεων, όπως στην οδηγία 2018/1972 για τη θέσπιση του Ευρωπαϊκού Κώδικα Ηλεκτρονικών Επικοινωνιών, η εφαρμογή της οποίας πραγματοποιείται με κριτήριο την αρχή της ειδικότητας. Ορισμένες από τις διατάξεις της εν λόγω οδηγίας καταργούνται ρητώς (άρθρα 40 και 41), ενώ άλλες πρέπει να εφαρμόζονται σύμφωνα με την προαναφερθείσα αρχή, χωρίς να παρέχεται καμία διευκρίνιση επ’ αυτού. Η ΕΟΚΕ ευελπιστεί ότι θα αρθεί πάσα αμφιβολία επί του θέματος, προκειμένου να αποφευχθούν προβλήματα ερμηνείας. Όσον αφορά το σύστημα κυρώσεων, η ΕΟΚΕ επικροτεί επίσης τον στόχο της Επιτροπής για την εναρμόνιση του καθεστώτος επιβολής τους σε περίπτωση μη συμμόρφωσης κατά τη διαχείριση κινδύνων, χάρη στη βελτίωση της ανταλλαγής πληροφοριών και της συνεργασίας σε επίπεδο ΕΕ.

    5.9Η ΕΟΚΕ αναγνωρίζει τον καθοριστικό ρόλο που υποδεικνύεται στην πρόταση οδηγίας για τα διοικητικά όργανα των «βασικών» και των «σημαντικών» οντοτήτων στο πλαίσιο της στρατηγικής για την ασφάλεια στον κυβερνοχώρο και της διαχείρισης των κινδύνων, δεδομένου ότι οφείλουν να εγκρίνουν τα μέτρα κινδύνου για την κυβερνοασφάλεια, να εποπτεύουν την εφαρμογή τους και να αντιμετωπίζουν τις περιπτώσεις ενδεχόμενης μη συμμόρφωσης. Εν προκειμένω, προβλέπεται για τα μέλη των εν λόγω οντοτήτων να παρακολουθούν ειδικά προγράμματα κατάρτισης, σε τακτική βάση, για την απόκτηση επαρκών γνώσεων και δεξιοτήτων προκειμένου να γνωρίζουν και να διαχειρίζονται τους διάφορους κινδύνους στον κυβερνοχώρο και να αξιολογούν τον αντίκτυπό τους. Κρίνεται, ωστόσο, σκόπιμο να καθοριστεί στην πρόταση το περιεχόμενο των εν λόγω γνώσεων και δεξιοτήτων για την παροχή καθοδήγησης σε ευρωπαϊκό επίπεδο σχετικά με το ποιες δεξιότητες κατάρτισης θεωρούνται ενδεδειγμένες για την εκπλήρωση των απαιτήσεων που τίθενται στην πρόταση, καθώς και για την αποτροπή της ενδεχόμενης διαφοροποίησης των απαιτήσεων και του περιεχομένου των ποικίλων προγραμμάτων κατάρτισης από τη μια χώρα στην άλλη.

    5.10Η ΕΟΚΕ συμφωνεί με τον σημαντικό ρόλο που διαδραματίζει ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) στη συνολική θεσμική και επιχειρησιακή δομή της κυβερνοασφάλειας σε ευρωπαϊκό επίπεδο. Θεωρεί επ’ αυτού σκόπιμο ο εν λόγω οργανισμός, εκτός από την έκδοση έκθεσης σχετικά με την κατάσταση της κυβερνοασφάλειας στην Ένωση, να δημοσιεύει επικαιροποιημένες πληροφορίες στο διαδίκτυο σχετικά με περιστατικά ασφάλειας υπολογιστών, επιπλέον των τομεακών ενημερωτικών ανακοινώσεων, με στόχο την παροχή ενός χρήσιμου εργαλείου πληροφόρησης στα ενδιαφερόμενα μέρη που καλύπτονται από την πρόταση αναθεώρησης της οδηγίας σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών (οδηγία ΑΔΠ 2) για την καλύτερη προστασία των επιχειρήσεών τους.

    5.11Η ΕΟΚΕ συμφωνεί ότι η πρόσβαση σε ορθές και έγκαιρες πληροφορίες σχετικά με τα τρωτά σημεία που επηρεάζουν τα προϊόντα και τις υπηρεσίες ΤΠΕ συμβάλλει στην ενίσχυση της διαχείρισης κινδύνων σχετικών με την ασφάλεια υπολογιστών. Στο πλαίσιο αυτό, οι πηγές δημόσια διαθέσιμων πληροφοριών σχετικά με τα τρωτά σημεία αποτελούν σημαντικό εργαλείο για τις αρμόδιες εθνικές αρχές, τις ομάδες αντιμετώπισης περιστατικών ασφάλειας σε υπολογιστές (CSIRT), τις επιχειρήσεις και τους χρήστες. Η ΕΟΚΕ συμφωνεί, επομένως, με την πρόταση να ανατεθεί στον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) η δημιουργία ευρωπαϊκού μητρώου τρωτών σημείων στο οποίο οι βασικές και σημαντικές οντότητες και οι πάροχοί τους θα μπορούν να γνωστοποιούν πληροφορίες, παρέχοντας έτσι στους χρήστες τη δυνατότητα να λαμβάνουν κατάλληλα μέτρα μετριασμού. Θεωρεί δε σκόπιμο η επικοινωνία σχετικά με τα τρωτά σημεία και τα σοβαρότερα περιστατικά να καταστεί υποχρεωτική και όχι προαιρετική προκειμένου να αποτελέσει χρήσιμο εργαλείο και για τους αναθέτοντες φορείς στο πλαίσιο των διαφόρων διαδικασιών σύναψης συμβάσεων σε ευρωπαϊκό επίπεδο, συμπεριλαμβανομένων των προϊόντων και των τεχνολογιών 5G. Το μητρώο αυτό θα περιέχει εν προκειμένω στοιχεία δυνάμενα να χρησιμοποιηθούν κατά την αξιολόγηση των προσφορών, με σκοπό την επαλήθευση της ποιότητας των προσφορών και της αξιοπιστίας των αναδόχων εντός και εκτός Ευρώπης από την άποψη της ασφάλειας των προϊόντων και των υπηρεσιών που αποτελούν αντικείμενο της σύμβασης, σύμφωνα με τη σύσταση της 26ης Μαρτίου 2019 σχετικά με την ασφάλεια των δικτύων 5G στον κυβερνοχώρο. Το μητρώο θα πρέπει επίσης να διασφαλίζει ότι οι πληροφορίες που περιέχονται σε αυτό καθίστανται διαθέσιμες κατά τρόπο ώστε να αποφεύγεται παντός είδους διάκριση.

    Βρυξέλλες, 27 Απριλίου 2021

    Christa SCHWENG

    Πρόεδρος της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής

    _____________

    (1)       ΕΕ L 194 της 19.7 2016, σ. 1 .
    (2)       COM(2020) 67 final .
    (3)       ΕΕ L 345 της 23.12 2008, σ. 75 .
    (4)       ΕΕ L 88 της 29.3 2019, σ. 42 .
    (5)       COM(2020) 605 final .
    (6)       COM(2017) 476 final .
    (7)      Παράρτημα 1: ΕΕ L 194 της 19.7 2016, σ. 1 .
    Top