1.Järeldused ja soovitused

1.1Euroopa Majandus- ja Sotsiaalkomitee väljendab heameelt komisjoni ettepaneku üle võtta vastu küberkerksuse õigusakt, millega kehtestatakse kõrgemad küberturvalisuse standardid, et luua usaldusväärne süsteem ettevõtjatele ja tagada ELi kodanikele, et turul pakutavaid tooteid on ohutu kasutada. See algatus on osa Euroopa andmestrateegiast, millega tugevdatakse andmete, sealhulgas isikuandmete turvalisust ja põhiõigusi, mis on meie digiühiskonna olulised eeltingimused.

1.2Komitee peab hädavajalikuks tugevdada ühist reageerimist küberrünnetele ning konsolideerida küberturvalisuse ühtlustamise protsessi riigi tasandil tegevuseeskirjade ja -vahendite osas, et vältida olukorda, kus riikide erinevad lähenemisviisid võivad tekitada õiguslikku ebakindlust ja õigustakistusi.

1.3Komitee väljendab heameelt komisjoni algatuse üle, mis mitte ainult ei saa aidata vähendada ettevõtjatele küberrünnakutest tulenevaid märkimisväärseid kulusid, vaid võimaldab ka kodanikel/tarbijatel saada kasu oma põhiõiguste, näiteks eraelu puutumatuse paremast kaitsest. Eelkõige näitab komisjon, et sertifitseerimisasutuste osutatavate teenuste puhul võetakse arvesse VKEde erivajadusi. Komitee juhib siiski tähelepanu vajadusele selgitada kohaldatavaid kriteeriume.

1.4Komitee peab oluliseks rõhutada, et kuigi on tervitatav, et küberkerksuse õigusaktiga on hõlmatud praktiliselt kõik digitaalsed tooted, võivad selle praktilisel rakendamisel tekkida probleemid, arvestades sellega kaasnevat märkimisväärset ja keerukat analüüsi- ja kontrollitegevust. Seetõttu on vaja tugevdada järelevalve- ja kontrollivahendeid.

1.5Komitee juhib tähelepanu vajadusele määrata täpselt kindlaks küberkerksuse õigusakti sisuline kohaldamisala, pöörates erilist tähelepanu digielemente sisaldavatele toodetele ja tarkvarale.

1.6Komitee märgib, et tootjad on kohustatud teatama ühelt poolt toodete nõrkustest ja teiselt poolt kõigist turvaintsidentidest, teavitades nendest Euroopa Liidu Küberturvalisuse Ametit (ENISA). Sellega seoses on oluline, et ENISA käsutusse antaks vajalikud vahendid, et amet saaks täita õigeaegselt ja tõhusalt talle usaldatud olulisi ja tundlikke ülesandeid.

1.7Tõlgendamisest tuleneva ebaselguse vältimiseks soovitab komitee komisjonil koostada suunised, et suunata tootjaid ja tarbijaid konkreetsete kohaldatavate eeskirjade ja menetluste osas, kuna näib, et mitmete ettepaneku kohaldamisalasse kuuluvate toodete suhtes kohaldatakse ka muid küberturvalisust käsitlevaid õigusnorme. Sellega seoses oleks samuti oluline, et iseäranis VKEdel ja mikroettevõtjatel on juurdepääs kvalifitseeritud ekspertide abile, kes suudavad pakkuda spetsiaalseid professionaalseid teenuseid.

1.8Komitee märgib, et suhted küberkerksuse õigusakti tähenduses sertifitseerimisasutuste ja muude asutuste vahel, kes on teiste õigusnormide alusel volitatud küberturvalisuse sertifitseerimiseks, ei ole täiesti selged. Sama tegevuse koordineerimise probleem võib tekkida ka siin vaadeldavas ettepanekus ette nähtud järelevalveasutuste ja samade toodete suhtes kohaldatavate teiste õigusnormide alusel juba tegutsevate järelevalveasutuste vahel.

1.9Komitee märgib, et ettepanekus nähakse sertifitseerimisasutustele ette märkimisväärne hulk tegevusi ja kohustusi, mis tuleb praktikas tagada. See on vajalik ka selleks, et küberkerksuse õigusakt ei tooks kaasa halduskoormuse suurenemist, mis karistaks tootjaid, kes peavad turul tegutsemise jätkamiseks täitma rea täiendavaid sertifitseerimisnõudeid.

2.Ettepaneku analüüs

2.1Küberkerksuse õigusakti ettepanekuga kavatseb komisjon põhjalikult ja horisontaalselt ratsionaliseerida ja ümber kujundada kehtivad küberturvalisust käsitlevad õigusnormid, samal ajal ajakohastades neid tehnoloogiliste uuenduste valguses.

2.2Küberkerksuse õigusaktiga taotletakse peamiselt nelja eesmärki: tagada, et tootjad parandavad digielemente sisaldavate toodete turvalisust alates projekteerimis- ja arendamisetapist ning kogu elutsükli jooksul; tagada sidus küberturvalisuse raamistik, mis hõlbustab riist- ja tarkvaratootjatel nõuete täitmist; suurendada digielemente sisaldavate toodete turvaomaduste läbipaistvust ning võimaldada ettevõtjatel ja tarbijatel selliseid tooteid turvaliselt kasutada. Sisuliselt kehtestatakse ettepanekuga küberturvalisuse CE-märgis, mis tuleb kinnitada kõigile küberkerksuse õigusaktiga hõlmatud toodetele.

2.3Tegemist on horisontaalse meetmega, mille abil komisjon kavatseb kogu temaatikat põhjalikult reguleerida, kuna sellega on hõlmatud peaaegu kõik digielemente sisaldavad tooted. Välja on jäetud meditsiinilised tooted, tsiviillennundusega seotud tooted, sõidukid ja sõjaliseks otstarbeks mõeldud tooted. Lisaks ei hõlma ettepanek selliseid teenuseid nagu teenusena pakutav tarkvara (SaaS – pilvteenus), välja arvatud juhul, kui neid kasutatakse digielemente sisalduvate toodete valmistamiseks.

2.4Mõiste „digielemente sisaldavad tooted“ on väga lai ja hõlmab mis tahes tarkvaralisi või riistvaralisi tooteid, samuti tarkvara või riistvara, mida ei ole tootes kasutatud, kuid mis lastakse turule eraldi.

2.5Õigusaktiga kehtestatakse kohustuslikud küberturvalisuse nõuded toodetele, mis sisaldavad digielemente. Need nõuded kehtivad kogu elutsükli jooksul, kuid ei asendata juba kehtestatud nõudeid. Pigem loetakse uue määruse kohaselt normidele vastavaks ka tooteid, mis on juba sertifitseeritud vastavalt olemasolevatele ELi standarditele.

2.6Üldpõhimõte on, et Euroopas viiakse turule ainult turvalisi tooteid, mille tootjad tagavad, et need tooted jäävad turvaliseks kogu nende elutsükli jooksul.

2.7Toode loetakse turvaliseks, kui see on projekteeritud ja valmistatud nii, et selle turvalisuse tase vastab selle kasutamisega kaasnevatele küberriskidele, sellel ei ole müügihetkel teadaolevaid nõrkusi, sellel on turvaline vaikimisi konfiguratsioon, see on kaitstud ebaseaduslike ühenduste eest, see kaitseb andmeid, mida kogub, ning tagab, et kogutavad andmed piirduvad toote toimimiseks vajalike andmetega.

2.8Tootja loetakse sobivaks oma tooteid turustama, kui ta teeb kättesaadavaks oma toodete erinevate tarkvarakomponentide loetelu, pakub viivitamata tasuta parandusmeetmeid uute nõrkuste korral, avalikustab ja selgitab üksikasjalikult nõrkusi, mida ta avastab ja lahendab, ning kontrollib korrapäraselt tema turustatavate toodete töökindlust. Neid ja muid küberkerksuse õigusaktiga kehtestatud tegevusi tuleb teha toote kogu elutsükli jooksul või vähemalt viis aastat pärast toote turule laskmist. Tootja peab tagama, et turvanõrkused kõrvaldatakse korrapäraste tarkvarauuenduste abil.

2.9Eri sektorites kohaldatava üldpõhimõtte kohaselt lasuvad need kohustused ka importijatel ja turustajatel.

2.10Küberkerksuse õigusaktis on sätestatud nn tavapäraste toodete ja tarkvara makrokategooria, mille puhul võib tugineda tootja enesehindamisele, nagu juba tehakse muud liiki CE-märgisele vastavuse sertifitseerimise puhul. Komisjoni sõnul kuulub 90 % turul olevatest toodetest sellesse kategooriasse.

2.11Asjaomased tooted võib turule lasta pärast seda, kui tootja, kes esitab õigusakti suunistes sätestatud asjakohased dokumendid, on toodete küberturvalisust ise hinnanud. Sama tootja peab toote muutmise korral viima läbi uue hindamise.

2.12Ülejäänud 10 % toodetest on jagatud veel kahte kategooriasse: I klass (väiksema riskiga) ja II klass (suurema riskiga), mis nõuab suuremat tähelepanu toodete turuleviimisel. Nende puhul on tegu nn digielemente sisaldavate kriitilise tähtsusega toodetega, mille puudused võivad kaasa tuua muid ohtlikke ja laiemaid turvarikkumisi.

2.13Kõnealustesse kahte klassi kuuluvate toodete puhul on põhiline enesehindamine lubatud ainult juhul, kui tootja tõendab, et ta on järginud konkreetseid turustusstandardeid ja turvaspetsifikaate või läbinud ELi poolt juba ette nähtud küberturvalisuse sertifitseerimise. Vastasel juhul võib ta saada tootesertifikaadi akrediteeritud sertifitseerimisasutuselt. See sertifitseerimine on II klassi toodete puhul kohustuslik.

2.14Toodete riskikategooriatesse liigitamise süsteem sisaldub ka tehisintellekti käsitleva määruse ettepanekus. Selleks et vältida kahtlusi kohaldatavate sätete suhtes, hõlmatakse küberkerksuse õigusaktiga digielemente sisaldavad tooted, mis on tehisintellekti käsitleva ettepaneku kohaselt samaaegselt liigitatud suure riskiga tehisintellektisüsteemideks. Sellised tooted peavad üldiselt vastama tehisintellekti määruses sätestatud vastavushindamismenetlusele, välja arvatud digielemente sisaldavad kriitilise tähtsusega tooted, mille suhtes kohaldatakse lisaks küberkerksuse õigusakti küberturvalisuse olulistele nõuetele ka küberkerksuse õigusakti vastavushindamise eeskirju.

2.15Selleks et tagada küberkerksuse õigusakti järgimine, usaldab iga liikmesriik järelevalvetegevuse konkreetsele riigi ametiasutusele. Kui riigi ametiasutus leiab kooskõlas muude toodete ohutust käsitlevate õigusaktidega, et toote küberturvalisuse omadused ei ole enam piisavad, võib selle turustamise asjaomases riigis peatada. Euroopa Liidu Küberturvalisuse Amet on pädev üksikasjalikult hindama teatatud toodet ja kui tuvastatakse toote puudulik ohutus, võivad ameti hinnangud viia toote turustamise peatamiseni ELis.

2.16Küberkerksuse õigusakti karistussüsteem sisaldab rida rikkumiste raskusele vastavaid karistusi, mis võivad toodete oluliste küberturvalisuse nõuete rikkumise korral ulatuda kuni 15 miljoni euroni või 2,5 %-ni eelmise maksuaasta käibest.

3.Märkused

3.1Komitee väljendab heameelt komisjoni algatuse üle, mille eesmärk on lisada küberturvalisuse reguleerimise laiemasse võrgustikku üks põhielement. Seda tehakse kooskõlastatult küberturvalisuse direktiiviga ja täiendades küberkerksuse õigusakti. Kõrgetel küberturvalisuse standarditel on oluline roll kõigi ettevõtjate jaoks tugeva ELi küberturvalisuse süsteemi loomisel, mis aitab tagada, et ELi kodanikud kasutavad kõiki turul pakutavaid tooteid ohutult, ja suurendada nende usaldust digimaailma vastu.

3.2Määruses käsitletakse seega kahte probleemi: paljude toodete madal kübeturvalisuse tase ja eelkõige asjaolu, et paljud tootjad ei paku uuendusi kübeturvalisuse nõrkuste parandamiseks. Kuigi digielemente sisaldavate toodete tootjad kannavad mõnikord mainekahju, kui nende tooted ei ole turvalised, jäävad nõrkustega seotud kulud peamiselt professionaalsete kasutajate ja tarbijate kanda. See piirab tootjate stiimuleid investeerida turvaliste toodete projekteerimisse ja arendamisse ning pakkuda turvauuendusi. Lisaks puudub ettevõtjatel ja tarbijatel sageli piisav ja täpne teave turvaliste toodete valimiseks ning sageli ei tea nad, kuidas tagada, et nende ostetavad tooted on turvaliselt konfigureeritud. Uutes eeskirjades käsitletakse neid kahte aspekti, tegeledes turvauuenduste ja klientidele ajakohastatud teabe esitamise küsimusega. Komitee arvates võib nõuetekohase kohaldamise korral kavandatavast määrusest saada rahvusvaheline küberturvalisuse võrdlusalus ja mudel.

3.3Komitee peab tervitatavaks ettepanekut kehtestada digielemente sisaldavatele toodetele küberturvalisuse nõuded. Siiski on oluline vältida kattuvust teiste seda küsimust käsitlevate kehtivate õigusaktidega, nagu uus küberturvalisuse 2. direktiiv ja tehisintellekti käsitlev määrus.

3.4Komitee peab oluliseks rõhutada, et kuigi on tervitatav, et küberkerksuse õigusaktiga on hõlmatud praktiliselt kõik digitaalsed tooted, võivad selle praktilisel rakendamisel tekkida probleemid, arvestades sellega kaasnevat märkimisväärset analüüsi- ja kontrollitegevust.

3.5Küberkerksuse õigusakti sisuline kohaldamisala on lai ja hõlmab kõiki digielemente sisaldavaid tooteid. Kavandatud määratluse kohaselt on hõlmatud kõik tarkvaralised ja riistvaralised tooted ning nendega seotud andmetöötlustoimingud. Komitee soovitab komisjonil selgitada, kas kogu tarkvara kuulub määruse ettepaneku kohaldamisalasse.

3.6Tootjaid kohustatakse teatama aktiivselt ärakasutatavatest nõrkustest ja turvaintsidentidest. Nad peavad teavitama Euroopa Liidu Küberturvalisuse Ametit (ENISA) kõigist tootes sisalduvatest aktiivselt ärakasutatavatest nõrkustest ja (eraldi) mis tahes intsidendist, mis mõjutab toote turvalisust, igal juhul 24 tunni jooksul pärast intsidendist teada saamist. Sellega seoses märgib komitee, et ENISA käsutusse tuleb anda piisavad vahendid nii arvulises mõttes kui ka ametialase ettevalmistuse poolest, et amet saaks tõhusalt täita talle määruse alusel usaldatavaid asjakohaseid ja tundlikke ülesandeid.

3.7Asjaolu, et mitmete ettepaneku kohaldamisalasse kuuluvate toodete suhtes kohaldatakse ka muid küberturvalisuse alaseid õigusnorme, võib tekitada ebakindlust selle suhtes, milliseid õigusnorme kohaldada. Kuigi küberkerksuse õigusakti eesmärk on kooskõla kehtiva ELi tooteid reguleeriva õigusraamistikuga ja muude praegu ELi digistrateegia raames ettevalmistamisel olevate ettepanekutega, kattuvad näiteks kõrge riskiteguriga tehisintellekti tooteid käsitlevad eeskirjad isikuandmete töötlemist käsitleva määruse eeskirjadega. Sellega seoses teeb komitee ettepaneku, et komisjon koostaks tootjatele ja tarbijatele suunised õigusakti õige kohaldamise kohta.

3.8Komitee märgib, et suhted küberkerksuse õigusakti tähenduses sertifitseerimisasutuste ja muude asutuste vahel, kes on teiste võrdselt kohaldatavate eeskirjade alusel volitatud küberturvalisuse sertifitseerimiseks, ei näi olevat täiesti selged.

3.9Märkimisväärne tegevus- ja vastutuskoormus langeb siis sertifitseerimisasutustele endile, kelle konkreetset tegutsemisvõimet tuleb kontrollida ja see tagada, et vältida olukorda, kus küberkerksuse õigusakt suurendaks tootjatele juba praegu turul tegutsemiseks pandud halduskoormust. Sellega seoses oleks samuti oluline, et iseäranis VKEdel ja mikroettevõtjatel on juurdepääs kvalifitseeritud ekspertide abile, kes suudavad pakkuda spetsiaalseid professionaalseid teenuseid.

3.10Küberkerksuse õigusaktiga nähakse ette, et sertifitseerimisasutused võtavad endi osutatavate teenuste puhul arvesse VKEde erivajadusi. Komitee juhib siiski tähelepanu vajadusele selgitada kohaldatavaid kriteeriume.

3.11Koordineerimise probleem võib tekkida ka siin vaadeldavas määruses ette nähtud järelevalveasutuste ja samade toodete suhtes kohaldatavate teiste eeskirjade alusel juba tegutsevate järelevalveasutuste vahel. Seepärast soovitab komitee, et komisjon kutsuks liikmesriike üles seda aspekti jälgima ja võtma vajaduse korral meetmeid olukorra parandamiseks.

Brüssel, 14. detsember 2022

Christa Schweng

Euroopa Majandus- ja Sotsiaalkomitee president

_____________