19.9.2013   

ET

Euroopa Liidu Teataja

C 271/133

1.1

Euroopa Majandus- ja Sotsiaalkomitee võtab teadmiseks direktiivi ettepaneku, mida tuleb vaadelda hiljuti avaldatud küberjulgeoleku strateegia (1) laiemas kontekstis. Strateegias esitatakse kõikehõlmav kava võrgu- ja infoturbe jaoks, et tagada digitaalmajanduse turvaline kasv, edendades samal ajal euroopalikke vabaduse ja demokraatia väärtusi.

1.2

Komitee tervitab direktiivi ettepanekut, mille eesmärk on tagada võrgu- ja infoturbe ühtlaselt kõrge tase kogu Euroopa Liidus. Võrgu- ja infoturbe ühtlustamine ja haldamine Euroopa tasandil on digitaalse ühtse turu lõplikuks väljakujundamiseks ja siseturu tõrgeteta toimimiseks eluliselt olulised. Komitee jagab komisjoni muret selle üle, et võrgu- ja infoturbe puudulikkus võib tõsiselt kahjustada majandust ja kodanike heaolu. Siiski ei vasta direktiivi ettepanek komitee ootusele võtta selles esmatähtsas küsimuses tõhusaid seadusandlikke meetmeid.

1.3

Komitee on väga pettunud edusammude puudumise üle tõhusa riigi tasandi võrgu- ja infoturbe rakendamisel paljudes liikmesriikides. Komitee avaldab kahetsust suurenevate ohtude üle, mida see kodanike jaoks tähendab, ning samuti negatiivse mõju üle, mida see avaldab digitaalse ühtse turu lõplikule väljakujundamisele. Kõik liikmesriigid peaksid tegutsema viivitamatult oma võrgu- ja infoturbe seni täitmata kohustuste täitmise nimel.

1.4

Edusammude puudumine tekitab veel ühe digitaalse lõhe kõrgelt arenenud võrgu- ja infoturbega eliidi ning vähem arenenud võrgu- ja infoturbega liikmesriikide vahel. See lõhe avaldab negatiivset mõju võrgu- ja infoturbe alasele usaldusele ja koostööle ELi tasandil ning, juhul kui seda kiiresti ei lahendata, võib põhjustada siseturul tõrkeid seoses liikmesriikide erineva suutlikkusega.

1.5

Nagu varasemates arvamustes (2) märgitud, leiab komitee, et tagasihoidlikud vabatahtlikud meetmed ei toimi ja vaja on panna liikmesriikidele ranged õigusnormidega sätestatud kohustused, et tagada Euroopa võrgu- ja infoturbe ühtlustamine, haldamine ja jõustamine. Kahjuks ei ole komitee arvates kõnealune direktiivi ettepanek see selge ja otsustav õigusnorm, mida vajatakse. Komitee leiab, et võrgu- ja infoturbe ühtlaselt kõrge taseme tagamiseks oleks direktiivist tõhusam määrus liikmesriikide selgelt määratud kindlate kohustustega.

1.6

Hoolimata Euroopa Komisjoni kavatsusest võtta vastu delegeeritud õigusakte, et tagada ühtlased tingimused direktiivi teatud osade rakendamiseks, leiab komitee, et kavandatud õigusaktis puuduvad standardid, selged määratlused ja kindlad kohustused, jättes liikmesriikidele liiga palju paindlikke võimalusi, kuidas õigusakti olulisi elemente tõlgendada ja üle võtta. Komitee sooviks õigusaktis näha palju rohkem sõnaselgeid määratlusi standardite, nõuete ja menetluste kohta, mida liikmesriigid, haldusasutused, operaatorid ja peamised Interneti-pakkujad peavad järgima.

1.7

Võrgu- ja infoturbe jaoks tugeva poliitika kujundamiseks ja selle tõhusaks rakendamiseks ELis soovitab komitee luua sarnaselt lennundustööstuse keskorganiga (EASA) (3) ELi tasandi võrgu- ja infoturbeasutuse. See organ kehtestaks standardeid ja jälgiks kõigi võrgu- ja infoturbe elementide jõustamist kogu ELis alates turvaliste lõppseadmete ja nende kasutuse sertifitseerimisest kuni võrgu- ja andmeturbeni.

1.8

Komitee on teravalt teadlik küberjulgeolekut ja andmekaitset üha enam ähvardavatest ohtudest pilvandmetöötluse (4) kasutuselevõtu tõttu Euroopas. Komitee sooviks, et õigusakti ettepanek hõlmaks sõnaselgelt spetsiaalseid täiendavaid turvanõudeid ja kohustusi seoses pilvandmetöötluse teenuste osutamise ja kasutamisega.

1.9

Selleks et tagada nõuetekohane vastutus võrgu- ja infoturbe eest, tuleb õigusaktis selgelt sätestada, et direktiivi ettepaneku alusel kohustusi omavatel üksustel on õigus pidada tark- ja riistvara tarnijaid vastutavaks nende tootes või teenuses esineva mis tahes vea eest, mis on otseselt aidanud kaasa mõne võrgu- ja infoturbe intsidendi tekkimisele.

1.10

Komitee kutsub liikmesriike üles pöörama erilist tähelepanu väikeste ja keskmise suurusega ettevõtete (VKEd) võrgu- ja infoturbe teadmiste ja küberjulgeoleku oskuste parandamisele. Komitee juhib komisjoni tähelepanu ka nn häkkerite võistluste korraldamisele USAs (5) ja mõnes liikmesriigis, (6) sest need on edukalt suurendanud teadlikkust küberjulgeolekust ja loonud järgmist võrgu- ja infoturbe spetsialistide põlvkonda.

1.11

Arvestades, kui oluline on, et kõik liikmesriigid järgiksid kogu ELi võrgu- ja infoturbe nõudeid, kutsub komitee komisjoni üles kaaluma, milliseid mitmeaastase finantsraamistiku vahendeid võiks suunata võrgu- ja infoturbe nõuete järgimisse, et aidata finantsabi vajavaid liikmesriike.

1.12

ELi teadusuuringute ja innovatsiooni raamprogrammis „Horisont 2020” peavad olema esmatähtsal kohal teadus- ja arendustegevuse ning innovatsiooni kulutused võrgu- ja infoturbe vallas, et Euroopa saaks sammu pidada kiiresti muutuva küberohtude maastikuga.

1.13

Selle selgitamiseks, millistel üksustel on õigusakti ettepaneku alusel õiguslikud kohustused, soovib komitee, et igale liikmesriigile pandaks kohustus avaldada e-nimekiri kõigist üksustest, mis alluvad direktiivi riskihalduse ja aruandlusnõuetele. Selline läbipaistvus ja avalik aruandekohustus suurendab usaldust ja toetab nõuete järgimist.

1.14

Komitee juhib komisjoni tähelepanu oma paljudele varasematele arvamustele, milles on arutatud võrgu- ja infoturbe teemat ning vajadust turvalise infoühiskonna ja oluliste taristute kaitsmise järele (7).

2.1

Võrgu- ja infoturbe direktiivi ettepanek avaldati koos ELi küberjulgeoleku strateegiaga, mille eesmärk on tugevdada infosüsteemide vastupidavust, vähendada küberkuritegevust, edendada ELi rahvusvahelist küberjulgeoleku- ja küberkaitsepoliitikat ning arendada küberjulgeoleku jaoks tööstuslikke ja tehnoloogilisi vahendeid, edendades samal ajal põhiõigusi ja teisi ELi põhiväärtusi.

2.2

Võrgu- ja infoturve tähendab interneti ning muude ühiskonna toimimist toetavate võrkude, infosüsteemide ja seonduvate teenuste kaitset. Võrgu- ja infoturve on hädavajalik siseturu tõrgeteta toimimiseks.

2.3

Seni ELis võrgu- ja infoturbe osas järgitud rangelt vabatahtlik lähenemisviis ei paku piisavat kaitset võrgu ja info turvalisusega seotud riskide eest. Võrgu- ja infoturbe praegune suutlikkus ei ole piisav, et kiirelt muutuvatele ohtudele vastu panna ja tagada kõigis liikmesriikides ühtlaselt kõrge kaitsetase.

2.4

Suutlikkuse ja valmisoleku tase on praegu liikmesriigiti väga erinev ning see põhjustab ELi lõikes võrgu- ja infoturbe lähenemisviiside killustatust. Arvestades, et võrgud ja süsteemid on omavahel seotud, nõrgestavad ebapiisava kaitsetasemega liikmesriigid kogu ELi võrgu- ja infoturbe üldist taset. Lisaks takistab selline olukord vastastikuse usalduse tekkimist, mis on aga koostöö ja teabe jagamise üks eeldusi. Tulemuseks on olukord, kus koostööd teeb vaid väike arv hea suutlikkusega liikmesriike.

2.5

Kõnealuse, ELi toimimise lepingu artikli 114 alusel kavandatud direktiivi eesmärk on soodustada digitaalse ühtse turu lõplikku väljakujundamist ja tõrgeteta toimimist:

2.6

Direktiivi ettepanekuga kehtestatakse muu hulgas järgmised õigusnõuded:

2.7

Liikmesriigid peavad direktiivi ellu viima 18 kuu jooksul pärast selle vastuvõtmist nõukogus ja Euroopa Parlamendis (kavas 2014. aastal).

3.1

Interneti ja digitaalühiskonna areng avaldab suurt mõju meie igapäevaelule. Samal ajal kui meie sõltumine internetist kasvab, sõltub meie vabadus, heaolu ja elukvaliteet üha enam tugevast võrgu- ja infoturbest. Kui internetiühendus on katkenud ja hädaolukorras ei ole võimalik pääseda ligi elektroonilistele haiguslugudele, siis patsient võib surra. Kuid Euroopa elutähtsa infotaristu turvalisus on järjest suuremas ohus ning meie võrgu- ja infoturbe tase ei ole piisavalt hea.

3.2

Europoli direktor ütles eelmisel aastal, et ta on „väga mures selle suure eksliku usu pärast interneti haavamatusse” (8). Sageli on kuulda, et kurjategijad, terroristid või välisriikide valitsused on taas korraldanud uue küberrünnaku mõne elutähtsa taristu vastu. Ohvrid enamikku rünnakutest ei avalikusta, sest nad kardavad oma maine kahjustumist. Kuid viimastel nädalatel on ilmnenud sellised rünnakud Euroopa internetitaristu (9) ja pangandussüsteemide (10) vastu, mis olid liiga hävitavad, et neid saaks varjata. Ühe aruande (11) hinnangul pandi Madalmaades 2011. aastal toime 92 miljonit ja Saksamaal 82 miljonit küberrünnakut. Ühendkuningriigi valitsuse hinnangul pandi riigis 2011. aastal toime 44 miljonit küberrünnakut, mis läksid majandusele maksma kuni 30 miljardit eurot (12).

3.3

Euroopa Liidu Nõukogu tegeles Euroopa võrgu- ja infoturbe probleemiga 2007. aastal (13). Kuid sellest ajast peale kasutusel olnud poliitiline lähenemisviis (14) on enamasti toetunud liikmesriikide vabatahtlikule tegevusele ja vaid vähesed neist on võtnud tõhusaid meetmeid. Komitee märgib, et paljud liikmesriigid ei ole veel avaldanud riiklikku küberjulgeoleku strateegiat ega töötanud välja riiklikke küberintsidentide situatsiooniplaane ning osa neist ei ole veel loonud ka infoturbeintsidentidega tegelevat meeskonda (CERT). Samuti ei ole mitu liikmesriiki ratifitseerinud veel Euroopa Nõukogu küberkuritegevuse konventsiooni (15).

3.4

Kümme kõrgelt arenenud võrgu- ja infoturbega liikmesriiki on moodustanud Euroopa valitsuste CERTide rühma (EGC). Sellesse rühma praegu enam liikmeid vastu ei võeta: teised 17 vähem arenenud võrgu- ja infoturbega liikmesriiki ja vastloodud CERT-EU (16) jäävad praegu sellest eliitrühmast välja. Tekib uus digitaalne lõhe kõrgelt arenenud võrgu- ja infoturbega liikmesriikide ning teiste liikmesriikide vahel. See võrgu- ja infoturbe lõhe tuleb sulgeda, sest vastasel juhul kahjustab see digitaalse ühtse turu südant, vähendades usalduse loomist, ühtlustamist ja koostalitlusvõime tagamist. Kui ei võeta jõulisi meetmeid, kasvab see lõhe rohkem ja vähem arenenud võrgu- ja infoturbega liikmesriikide vahel tõenäoliselt veelgi, mistõttu sagenevad ka liikmesriikide suutlikkuse erinevusest tulenevad siseturu tõrked.

3.5

Küberjulgeoleku strateegia edu ning võrgu- ja infoturbe direktiivi ettepaneku tõhusus sõltuvad tugeva võrgu- ja infoturbe tööstuse olemasolust Euroopas ning võrgu- ja infoturbe alaste oskustega töötajate piisavast arvust. Komiteel on heameel, et direktiivi ettepanekusse on hõlmatud liikmesriikide vajadus investeerida võrgu- ja infoturbe alasesse haridusse, teadlikkusse ja koolitusse. Komitee sooviks samuti, et iga liikmesriik teeks erilisi jõupingutusi, et teavitada, harida ja toetada VKEsid küberjulgeoleku alal. Suurtel ettevõtetel on kergem saada vajalikke teadmisi, aga VKEd vajavad toetamist.

3.6

Komitee ootab rõõmuga koostöö tegemist Euroopa Võrgu- ja Infoturbeametiga (ENISA), et edendada võrgu- ja infoturvet sel aastal aset leidva küberjulgeoleku kuu raames. Seoses küberjulgeoleku strateegia ning võrgu- ja infoturbe direktiivi eesmärgiga arendada kogu ELis välja turvateadlik kultuur ning tõsta võrgu- ja infoturbe oskuste taset juhib komitee komisjoni tähelepanu nn häkkerite võistluste korraldamisele teismeliste jaoks, sest need on olnud mõnes liikmesriigis ja USAs väga edukad teadlikkuse suurendamisel.

3.7

Komitee täheldab samuti rahuloluga küberjulgeoleku strateegias ette nähtud teadus- ja arendustegevuse ning innovatsiooni kulutusi võrgu- ja infoturbe vallas.

3.8

Pilvandmetöötluse kasv tekitab paljusid uusi ohte, millega küberjulgeolek peab tegelema. Näiteks on küberkurjategijatele nüüd suhteliselt väikeste kuludega kättesaadav tohutult suur andmetöötlusvõimsus ning tuhandete ettevõtete andmed on nüüd koondatud kesksetesse andmepankadesse, mida võivad ähvardada sihipärased rünnakud. Komitee on kutsunud üles saavutama pilvandmetöötluse suurema vastupanuvõime küberohtudele (17).

3.9

Komitee on varem samuti kutsunud üles looma veebipõhiste tehingute jaoks vabatahtliku ELi e-identimise süsteemi, täiendamaks olemasolevaid riikide süsteeme. Selline süsteem tagaks tõhusama kaitse pettuste eest, usalduslikuma õhkkonna ettevõtjate vahel, madalamad teenuse osutamise kulud ning kvaliteetsemad teenused ja kodanike parema kaitse.

4.1

Kahjuks on komisjoni võrgu- ja infoturbe direktiivi ettepanek liiga ettevaatlik, see ei ole piisavalt selge ning toetub liigselt liikmesriikide isereguleerimisele. Puuduvad standardid, selged määratlused ja kindlad kohustused, eelkõige direktiivi IV peatükis, jättes liikmesriikidele liiga palju paindlikke võimalusi, kuidas õigusakti olulisi elemente tõlgendada ja üle võtta. Direktiivist tõhusam oleks määrus liikmesriikide selgelt määratud õiguslike kohustustega.

4.2

Komitee märgib, et direktiivi artiklis 6 nõutakse, et iga liikmesriik nimetaks pädeva asutuse, et jälgida direktiivi rakendamist ja tagada selle ühetaoline kohaldamine kogu ELis. Lisaks moodustatakse artikli 8 alusel koostöövõrk, mis koostöövõrgule ja komisjonile antud volituste alusel juhib, haldab ja vajadusel jõustab vastavaid meetmeid üle kogu Euroopa kuni liikmesriikide tasandini välja. Komitee leiab, et sellest juhtimisraamistikust lähtudes peaks EL kaaluma ELi tasandi võrgu- ja infoturbeasutuse loomist sarnaselt Euroopa Lennundusohutusametiga (EASA), mis sätestab standardid ning juhib turvanõuete jõustamist ja nende järgimist lennukite, lennujaamade ja lennuettevõtjate teenuste puhul.

4.3

Eelmises punktis 4.2 soovitatud ELi tasandi võrgu- ja infoturbeasutuse võiks moodustada selle küberjulgeoleku alase töö alusel, mida juba teevad Euroopa Võrgu- ja Infoturbeamet (ENISA), Euroopa Standardikomitee (CEN), CERTid, Euroopa valitsuste CERTide rühm (EGC) jt. Selline asutus kehtestaks standardeid ja jälgiks kõigi võrgu- ja infoturbe elementide jõustamist alates turvaliste lõppseadmete ja nende kasutuse sertifitseerimisest kuni võrgu- ja andmeturbeni.

4.4

Arvestades liikmesriikide suurt üksteisest sõltumist võrgu- ja infoturbe tagamisel kogu ELis ning võrgu- ja infoturbe tõrgete potentsiaalselt väga suurt kulu kõigile asjaosalistele, soovib komitee, et õigusaktis oleks nõuete rikkumise puhuks kehtestatud sõnaselged ja proportsionaalsed sanktsioonid, mis on ühtlustatud, et võtta arvesse asjaomase vastutuse üleeuroopalist mõõdet ja mitte ainult siseturul, vaid kogu ELis tekkida võiva kahju ulatust. Õigusakti sanktsioone käsitleva artikliga 17 antakse liikmesriikidele liiga suur kaalutlusõigus sanktsioonide kehtestamisel, kuid ei anta piisavaid suuniseid, kuidas võtta arvesse piiriülest ja üleeuroopalist mõju.

4.5

Tänapäeval avalikustavad valitsused ja oluliste teenuste pakkujad turvalisuse ja vastupidavuse probleeme üksnes siis, kui nad on selleks sunnitud. Selline puudulik avalikustamine kahjustab Euroopa suutlikkust vastata kiiresti ja tõhusalt küberohtudele ning parandada jagatud teadmiste kaudu üldist võrgu- ja infoturvet. Komitee tunnustab komisjoni otsust muuta direktiiviga kohustuslikuks kõigist olulistest võrgu- ja infoturbe intsidentidest teavitamine. Komitee arvates vabatahtlik ja omaalgatuslik intsidentidest teatamine ei toimi, sest maine ja vastutusega seotud hirmude tõttu on põhjust sellised juhtumid maha vaikida.

4.6

Direktiivi teatamist käsitlevas artiklis 14 ei määratleta, milline on täpselt see intsidendi „oluline mõju” turvalisusele, ning antakse asjaomastele üksustele ja liikmesriikidele liiga suur otsustusvabadus, kas võrgu- ja infoturbe intsidentidest teatada või mitte. Tõhus õigusakt vajab ühemõttelisi nõudeid. Seetõttu, et direktiivi ettepanek on nõuete oluliste määratluste osas liiga ebamäärane, ei ole võimalik võtta asjaosalisi nõuete rikkumise korral vastutusele, nagu on sätestatud direktiivi artiklis 17.

4.7

Kuna suuremat osa võrgu- ja infoturbe teenustest osutab erasektor, on oluline edendada kõigi oluliste infotaristu ja -teenuste eest vastutavate ettevõtjate vastastikust suurt usaldust ja koostööd. Tervitada ja julgustada tuleb komisjoni 2009. aastal käivitatud Euroopa avaliku ja erasektori partnerluse (EP3R) algatust. Komitee on siiski arvamusel, et algatust tuleb tugevdada ja toetada võrgu- ja infoturbe alaste õigusnormidega, millega kohustatakse koostööle ka neid olulisi sidusrühmi, kes muidu nõuetekohaselt ei osale.

4.8

Iga liikmesriik peaks avaldama e-nimekirja kõigist enda haldusalasse kuuluvatest üksustest, mis alluvad direktiivi ettepaneku artiklis 14 sätestatud turvanõuetele ja intsidentidest teatamise kohustusele. Lisaks selle selgitamisele, kuidas iga liikmesriik otsustab kohaldada õigusakti artiklis 3 esitatud määratlusi, aitaks selline läbipaistvus suurendada inimeste seas usaldust ja edendada riskihalduskultuuri.

4.9

Komitee märgib, et tarkvaraarendajad ja riistvaratootjad jäetakse sõnaselgelt direktiivi nõuete alt välja, sest nemad ei ole infoühiskonna teenuste pakkujad. Kuid komitee leiab, et õigusakti ettepanekus tuleks sätestada, et direktiivi ettepaneku alusel kohustusi omavatel üksustel on õigus pidada tark- ja riistvara tarnijaid vastutavaks nende tootes või teenuses esineva mis tahes vea eest, mis on otseselt põhjustanud mõne võrgu- ja infoturbe intsidendi.

4.10

Kuigi komisjoni hinnangul läheb võrgu- ja infoturbe direktiivi ettepaneku elluviimine maksma aastas ligikaudu 2 miljardit eurot, mis jaguneb Euroopa avaliku ja erasektori vahel, märgib komitee, et finantssurve all olevatel liikmesriikidel on raske leida nõuete täitmiseks vajalikke investeeringuid. On vaja kaaluda, kuidas toetada mitmeaastases finantsraamistikus võrgu- ja infoturbe nõuete täitmist mitmesuguste eri mehhanismide kaudu, sealhulgas Euroopa Regionaalarengu Fond (ERF) ja vahest Sisejulgeolekufond.