52013SC0031

KOMISJONI TALITUSTE TÖÖDOKUMENT MÕJUHINNANGU KOMMENTEERITUD KOKKUVÕTE Lisatud dokumendile: Ettepanek: Euroopa Parlamendi ja nõukogu direktiiv meetmete kohta, millega tagada võrgu- ja infoturbe ühtlaselt kõrge tase kogu Euroopa Liidus /* SWD/2013/031 final */


KOMISJONI TALITUSTE TÖÖDOKUMENT

MÕJUHINNANGU KOMMENTEERITUD KOKKUVÕTE

Lisatud dokumendile:

Ettepanek: Euroopa Parlamendi ja nõukogu direktiiv

meetmete kohta, millega tagada võrgu- ja infoturbe ühtlaselt kõrge tase kogu Euroopa Liidus

1.           Kohaldamisala

Käesolevas mõjuhinnangus käsitletakse poliitilisi võimalusi, mis aitaksid parandada interneti ning muude selliste võrkude ja infosüsteemide turvalisust, millest sõltub meie ühiskonna toimimine (nt avaliku halduse, rahanduse ja panganduse, energeetika, transpordi, tervishoiu ning teatavate internetiteenuste vallas, mis on vajalikud oluliste majanduslike ja ühiskondlike protsesside jaoks, näiteks e-kaubanduse platvormid ja sotsiaalvõrgustikud). Teisisõnu räägitakse võrgu- ja infoturbest.

2.           Poliitikaraamistik

2001. aastal tunnistas komisjon esimest korda võrgu- ja infoturbe kasvavat tähtsust meie majanduse ja ühiskonna jaoks. Võrgu- ja infoturbe kõrge taseme ja tulemuslikkuse tagamiseks ELis otsustas Euroopa Ühendus 2004. aastal luua Euroopa Võrgu- ja Infoturbeameti (ENISA). Euroopa Liidu senine lähenemine võrgu- ja infoturbele on seisnenud selles, et vastu on võetud rida tegevuskavasid ja strateegiaid ärgitamaks liikmesriike parandama oma võrgu- ja infoturbealast suutlikkust ning tegema koostööd võrgu ja info turvalisusega seotud piiriüleste probleemide lahendamiseks.

Algatuse eri aspektide (probleemi määratlus ja seniste puuduste lahendamise võimalused) üle on sidusrühmadega konsulteeritud järgmiselt:

· 23. juulist kuni 15. oktoobrini 2012 toimus avalik internetikonsultatsioon „Võrgu- ja infoturbe parandamine ELis”. Komisjon sai küsimustikule internetiplatvormi kaudu 169 vastust, millele lisandus veel 10 kirja teel saadetud vastust.

· Liikmesriikidega toimusid arutelud liikmesriikide Euroopa foorumi (EFMS) raames, kahepoolsetel kohtumistel ning komisjoni ja Euroopa välisteenistuse korraldatud ELi küberjulgeoleku konverentsil 6. juulil 2012.

· Erasektori ettevõtjate ja ühendustega toimusid arutelud vastupidavust käsitleva Euroopa avaliku ja erasektori partnerluse ja kahepoolsete kohtumiste raames.

· Arutelud ENISA ja CERT-EU-ga

· Arutelud 2012. aasta digitaalarengu tegevuskava assamblee raames

3.           Probleemi kirjeldus

3.1.        Probleemi määratlus

Võib öelda, et probleem seisneb selles, et üldjoontes on kaitse võrgu ja info turvalisusega seotud intsidentide, riskide ja ohtude eest kogu ELis ebapiisaval tasemel ning see kahjustab siseturu nõuetekohast toimimist.

Võrgud ja infosüsteemid on omavahel seotud ning internet on oma olemuselt globaalne nähtus ja see tähendab, et võrgu ja info turvalisusega seotud intsidendid on sageli piiriülesed ja kahjustavad siseturu toimimist.

Turvalisuse rikkumise tõttu võivad piiriülesed teenused lakata töötamast, need võidakse peatada või katkestada, nagu on juhtunud eBay ja PayPali vastu suunatud rünnete korral. Seda, et probleemide lahendamiseks ja olulise intsidendi kohta teabe jagamiseks tuleb kiiresti tegutseda, oli näha ka Hollandi sertifitseerimiskeskuse Diginotar vastu suunatud rünnete puhul. Asetleidnud intsidentide tõttu on liikmesriigid hakanud kehtestama oma õigusnorme. Koordineerimatu regulatiivne sekkumine võib aga kaasa tuua killustunud lähenemise ja tekitada siseturul tõkkeid, mis põhjustavad õigusaktide täitmisega seotud kulusid nende ettevõtjate jaoks, kes tegutsevad mitmes liikmesriigis.

Kirjeldatud probleemid mõjutavad kõiki ühiskonna ja majanduse osi (valitsused, ettevõtjad ja tarbijad). Osadel sektoritel on oluline ülesanne pakkuda majanduse ja ühiskonna jaoks olulisi tugiteenuseid ning nende süsteemide turvalisus on siseturu toimimiseks eriti tähtis. Sellised sektorid on pangandus, väärtpaberibörsid, energia tootmine, ülekandmine ja jaotamine, transport (õhu-, raudtee- ja meretransport), tervishoid, oluliste internetiteenuste võimaldamine ja avalik haldus. Avaliku konsultatsiooni käigus selgus, et sidusrühmad toetavad võrgu- ja infoturbeküsimustega tegelemist neis sektorites ja vastavate meetmete võtmist ELi tasandil.

Kui üha suureneva intsidentide hulgaga võitlemiseks ei võeta meetmeid, võib see vähendada tarbijate usaldust võrguteenuste vastu ja seega kahjustada digitaalarengu tegevuskava eesmärkide saavutamist.

3.2.        Probleemi põhjused

Määratletud probleemil on mitu põhjust.

Esiteks on riikide suutlikkus ELi lõikes ebaühtlane ning see takistab vastastikuse usalduse tekkimist, mis on aga koostöö ja teabe jagamise üks eeldusi.

Teiseks ei jagata intsidentide, riskide ja ohtude kohta piisavalt teavet. Enamikust võrgu ja info turvalisusega seotud intsidentidest ei teatata ja need jäävad märkamata peamiselt seepärast, et ettevõtjad ei soovi sellist teavet jagada, kartes, et see kahjustab nende mainet või toob kaasa vastutuselevõtmise. Olemasolevates avaliku ja erasektori partnerlustes või platvormides, näiteks EFMSi ja Euroopa avaliku ja erasektori partnerluse puhul piirdub teabevahetus parimate tavade jagamisega.

4.           Seniste meetmete tulemuslikkus

4.1.        Tühimikud praeguses õigusraamistikus

Praeguste eeskirjade kohaselt peavad võrgu- ja info turvalisusega seotud riskide haldamiseks ja sellealastest intsidentidest teatamiseks võtma meetmeid vaid telekommunikatsiooniettevõtted. Turvariskid aga puudutavad kõiki, kes kasutavad võrke ja infosüsteeme. Selline olukord loob ebavõrdsed tingimused, sest kui sama intsident mõjutab näiteks telekommunikatsiooniettevõtet ja IP-kõne (VoIP) teenuseid pakkuvat ettevõtet, siis riigi pädevale asutusele peab sellest teatama vaid telekommunikatsiooniettevõte.

Andmekaitsealase õigusraamistiku kohaselt on vastutavatel töötlejatel (näiteks pankadel ja haiglatel) kohustus võtta kasutusele neid ähvardavate riskidega proportsionaalsed turvameetmed. Samas on vastutavatel töötlejatel kohustus teatada vaid neist turvalisuse rikkumistest, mis kahjustavad isikuandmeid.

Nõukogu direktiiv 2008/114/EÜ Euroopa elutähtsate infrastruktuuride identifitseerimise ja määramise kohta puudutab ainult energeetika- ja transpordisektorit ning praeguseks on liikmesriigid identifitseerinud vaid üksikud Euroopa elutähtsad infrastruktuurid. Direktiiviga ei kohustata operaatoreid teatama olulistest turvalisuse rikkumistest ega looda mehhanisme, mis võimaldaksid liikmesriikidel koostööd teha ja intsidentidele reageerida.

Kaasseadusandjad arutlevad praegu komisjoni ettepaneku üle, milles käsitletakse direktiivi infosüsteemide vastu suunatud rünnete kohta[1]. Ettepanekus käsitletakse vaid teatavat liiki käitumise kuritegelikuks tunnistamist ega pöörata tähelepanu võrgu ja info turvalisusega seotud intsidentide ja riskide vältimisele, sellistele intsidentidele reageerimisele ja nende mõju leevendamisele.

4.2.        Vabatahtlikkusele rajatud lähenemisviisi piiratus

Senine vabatahtlikkusel põhinev lähenemisviis on tekitanud olukorra, kus valmisoleku tase on ebaühtlane ja koostöö piiratud.

Liikmesriikide Euroopa foorumi võimalused on piiratud, sest liikmesriigid ei jaga teavet intsidentide, riskide ja ohtude kohta ega tee koostööd piiriüleste ohtude tõrjumiseks. Foorumil ei ole volitusi nõuda oma liikmetelt minimaalse suutlikkuse taset.

ENISA-l ei ole operatiivse tegutsemise volitusi ja seega ei saa ta näiteks võrgu ja info turvalisusega seotud probleemide korral sekkuda.

Euroopa avaliku ja erasektori partnerlusel ei ole ametlikku staatust ja seega ei saa ta kohustada erasektorit intsidentidest riikide ametiasutustele teatama. Nimetatud partnerlusel puudub raamistik, mis võimaldaks usaldusväärselt teavet jagada ning võrgu ja info turvalisusega seotud ohte, riske ja intsidente käsitlevat teavet edastada.

5.           Vajadus ELi sekkumise järele, subsidiaarsus ja proportsionaalsus

Võrgu ja info turvalisuse tagamine on hästi toimiva siseturu ja meie ühiskonna heaolu jaoks hädavajalik. ELi toimimise lepingu artikkel 114 on sobiv õiguslik alus, mille põhjal ühtlustada võrgu- ja infoturbe nõuded ja kehtestada kogu ELis turvalisuse miinimumtase.

ELi sekkumist võrgu- ja infoturbe vallas õigustab subsidiaarsuse põhimõte, sest tegemist on oma olemuselt piiriülese probleemiga ning ELi tasandi tegevus suurendaks seniste riiklike põhimõtete tõhusust ja tekitaks seega lisaväärtust.

Kõiki liikmesriike hõlmava koostöö tagamiseks tuleb veenduda, et neil kõigil oleks suutlikkuse nõutav miinimumtase. Pealegi on selge, et kooskõlastatud ja koostööl põhinevad võrgu- ja infoturbepoliitika meetmed võivad avaldada tugevat positiivset mõju tõhusale põhiõiguste kaitsele, eriti isikuandmete ja eraelu puutumatuse õiguse kaitsele.

Eelistatud variandi kohased meetmed on õigustatud ka proportsionaalsuse põhimõtte kohaselt, sest liikmesriikidele esitatavad nõuded kehtestatakse kõige madalamal tasemel, mille korral on võimalik saavutada piisav valmisolek ja teha usaldusele tuginevat koostööd, ning ettevõtjatele ja riigiasutustele esitatavad nõuded seoses riskide haldamise ja intsidentidest teatamisega keskenduvad vaid elutähtsatele üksustele ja toovad kaasa meetmed, mis on riskidega proportsionaalsed ja puudutavad olulise mõjuga intsidente. Lisaks eelöeldule ei põhjustaks eelistatud variandi kohased meetmed ebaproportsionaalseid kulusid.

6.           Eesmärgid

Üldine eesmärk on suurendada kaitset võrgu ja info turvalisust ähvardavate intsidentide, riskide ja ohtude vastu kogu ELis. Erieesmärgid on järgmised:

· 1. eesmärk: luua liikmesriikides võrgu- ja infoturbe ühine miinimumtase ning parandada seeläbi valmisoleku ja reageerimissuutlikkuse üldist taset.

· 2. eesmärk: parandada ELi tasandil võrgu- ja infoturbealast koostööd, et tulla tõhusalt toime piiriüleste intsidentide ja ohtudega.

· 3. eesmärk: luua riskihalduskultuur ja parandada teabevahetust avaliku ja erasektori vahel.

7.           Põhimõttelised valikuvariandid

Käesolevas mõjuhinnangus on kaalutud järgmisi põhimõttelisi valikuvariante: tavapärane tegevus, regulatiivne lähenemine ja kombineeritud lähenemine. Kõrvale on jäetud variant, mille puhul lõpetataks igasugune ELi tegevus võrgu- ja infoturbe vallas.

7.1.        1. variant: tavapärane tegevus (lähtestsenaarium)

Komisjon jätkaks ENISA abil praegust vabatahtlikul tegutsemisel põhinevat lähenemisviisi, mille raames kutsutakse liikmesriike üles looma võrgu- ja infoturbe alast suutlikkust riigi tasandil (nt CERTid, riiklikud küberintsidentide / ootamatustega toimetuleku kavad, riiklikud küberjulgeoleku strateegiad) ning tegema koostööd ELi tasandil (nt CERTide üleeuroopalise võrgu ja küberintsidentideks valmisoleku kavade / koostöökavade kaudu).

7.2.        2. variant: regulatiivne lähenemine

Komisjon nõuaks kõigilt liikmesriikidelt vähemalt miinimumtasemel suutlikkust (CERTid, pädevad asutused, riiklikud küberintsidentide / ootamatustega toimetuleku kavad, riiklikud küberjulgeoleku strateegiad).

Kõnealuse regulatiivse lähenemise kohaselt peaksid riikide pädevad asutused ja CERTid olema osa ELi tasandi koostöövõrgust. Asutused ja CERTid vahetaksid võrgu raames teavet ja teeksid koostööd, et tulla toime võrgu ja info turvalisusega seotud ohtude ja intsidentidega vastavalt Euroopa küberintsidentideks valmisoleku kavale / koostöökavale, milles liikmesriigid peaksid kokkuleppele jõudma.

Konkreetsetes elutähtsates sektorites, näiteks panganduses, energeetikas (elektrienergia ja maagaas), transpordis, tervishoius ja peamiste internetiteenuste võimaldamise vallas tegutsevad ettevõtjad (v.a mikroettevõtjad) ja haldusasutused peaksid hindama nende ees olevaid riske ja võtma reaalsete riskide ohjeldamiseks asjakohaseid ja proportsionaalseid meetmeid. Lisaks peaksid need ettevõtjad ja asutused teatama pädevatele asutustele intsidentidest, mis kahjustavad raskelt nende võrkude ja infosüsteemide tööd ja mõjutavad seega märgatavalt võrkudest ja infosüsteemidest sõltuvate teenuste ja kaupade pakkumise pidevust. Siinjuures lähtutakse elektroonilise side raamdirektiivi artiklites 13a ja 13b esitatud struktuurist.

7.3.        3. variant: kombineeritud lähenemine

Komisjon ühendaks liikmesriikide heal tahtel põhinevad ning liikmesriikide võrgu- ja infoturbe valdkonna suutlikkuse loomisele või tugevdamisele ja ELi tasandi koostöömehhanismide loomisele suunatud vabatahtlikud algatused regulatiivsete nõuetega olulistele eraettevõtjatele ja haldusasutustele.

Vabatahtlikud algatused oleksid põhimõtteliselt samalaadsed, nagu kirjeldatud 1. variandi puhul, regulatiivsed nõuded oleksid aga täpselt samad, nagu kehtestataks 2. variandi puhul, seda nii nende asutuste ja ettevõtjate osas, kellele nad suunatud oleksid, kui ka kohustuste sisu mõttes.

ENISA toetaks komisjoni, liikmesriike ja erasektorit ja annaks neile tehnilist nõu näiteks tehniliste suuniste ja soovituste näol.

8.           Mõjuanalüüs

Lisaks turvalisuse tasemele käsitletakse hinnangus ka kolme variandi majanduslikku ja ühiskondlikku mõju. Käsitletakse ka 2. ja 3. variandiga kaasnevaid kulusid.

Ühegi kirjeldatud variandi keskkonnamõju ei ole võimalik täpselt prognoosida.

8.1.        1. variant: tavapärane tegevus (lähtestsenaarium)

Turvalisuse tase: on ebatõenäoline, et kõigi liikmesriikide suutlikkus ja valmisolek, mis on vajalik turvalisuse parandamiseks ning koostöö ja usaldusväärse teabejagamise võimaldamiseks ELi tasandil, jõuaks võrreldavale tasemele. Riskihalduses ja intsidentide suuremas läbipaistvuses ei saavutataks võrdseid tingimusi ning seega säiliksid praegused õigustühimikud.

Majanduslik mõju: mõju ulatus oleneks sellest, kui suures ulatuses järgivad liikmesriigid komisjoni soovitusi. Vähem arenenud liikmesriikide ebapiisav turbetase vähendaks nende konkurentsivõimet ja majanduskasvu ning jätaks nad avatuks riskidele ja intsidentidele. Praegusi suundumusi arvestades muutuksid võrgu ja info turvalisusega seotud intsidendid tõenäoliselt ettevõtjatele ja tarbijatele üha nähtavamaks ning hakkaksid takistama siseturu väljakujundamist.

Ühiskondlik mõju: intsidentide, riskide ja ohtude jätkumine ja eeldatav raskemaks muutumine kahjustaks kodanike usaldust internetikeskkonna suhtes.

8.2.        2. variant: regulatiivne lähenemine

Turvalisuse tase: Liikmesriikidele pandud kohustused tagaksid neile kõigile piisava valmisoleku ning aitaksid kaasa vastastikku usaldusliku õhkkonna loomisele, mis on ELi tasandi tõhusa koostöö eeltingimus.

Võrgu ja info turvalisusega seotud riskide haldamise nõuete kehtestamine haldusasutustele ja olulistele eraettevõtetele motiveeriks turvalisusega seotud riske tulemuslikult haldama. Nende nõuete täitmisest tulenevad täiendavad kulud ulatuksid ELi eri sektorites kokku 1–2 miljardi euroni. Väikeste ja keskmise suurusega ettevõtjate jaoks oleksid nõuete täitmise kulud vahemikus 2500–5000 eurot.

Majanduslik mõju: Tänu turvalisuse taseme kasvule väheneksid võrgu ja info turvalisusega seotud riskide ja intsidentidega kaasnevad finantskahjud. Ettevõtjate ja tarbijate usaldus digitaalse maailma vastu kasvaks ning sellest oleks siseturule kasu. Tõhusa riskihalduskultuuri levik suurendaks nõudlust ka turvaliste IKT-toodete ja -lahenduste järele.

Ühiskondlik mõju: Suurem turvalisus parandaks kodanike usaldust interneti vastu ning laseks neil täielikult ära kasutada digimaailma pakutavaid võimalusi, nt sotsiaalmeediat, e-õpet, e-tervist.

8.3.        3. variant: kombineeritud lähenemine

Turvalisuse tase: nagu ka 1. variandi puhul, ei ole mingit tagatist, et riikide info- ja võrguturbe alasele suutlikkusele ja ELi tasandi koostööle rajatud turvalisuse tase paraneks vabatahtlike algatuste tulemusena. Samas motiveeriks haldusasutustele ja olulistele eraettevõtetele turvanõuete kehtestamine turvalisusega seotud riske haldama ja ohjeldama. Sellised mehhanismid ei annaks siiski tulemusi neis liikmesriikides, kus ei järgitaks komisjoni soovitusi võrgu- ja infoturbealase suutlikkuse loomise kohta.

Majanduslik mõju: eri liimesriikide arengutempo oleks väga varieeruv. Vähem arenenud liikmesriikide ebapiisav turbetase vähendaks nende konkurentsivõimet ja majanduskasvu ning neid ähvardaks riskide ja intsidentide kahjulik mõju.

Ühiskondlik mõju: intsidentide, riskide ja ohtude jätkumine ja eeldatav raskemaks muutumine kahjustaks kodanike usaldust internetikeskkonna suhtes eriti neis liikmesriikides, kus ei peeta võrgu ja info turvalisust esmatähtsaks.

9.           Variantide võrdlus

1. ja 3. varianti ei peeta poliitiliste eesmärkide saavutamise seisukohast tulemustandvateks ning seega nende kasutamist ei soovitata, sest nende tulemuslikkus oleneks sellest, kas vabatahtlikkusel põhinev lähenemine võimaldaks tegelikult saavutada võrgu ja info turvalisuse miinimumtaseme. 3. variandi tulemuslikkus oleneks liikmesriikide heast tahtest luua suutlikkus ja teha piiriülest koostööd.

Eelistatakse 2. varianti, sest selle variandi puhul paraneks ELi tarbijate, ettevõtjate ja valitsuste kaitstus võrgu ja info turvalisusega seotud intsidentide, ohtude ja riskide eest märkimisväärselt. Pealegi saaks EL pärast oma koduste asjade kordaseadmist laiendada tegevusulatust rahvusvahelises plaanis ning olla veelgi usaldusväärsem koostööpartner kahe- ja mitmepoolsetes suhetes. Selle tulemusena paraneks ELi positsioon ning ta saaks põhiõigusi ja ELi põhiväärtusi mujal maailmas paremini propageerida.

10.         Seire ja hindamine

Mõju hindamise aruande 10. peatükis on kirjeldatud põhinäitajaid, mis võimaldavad hinnata liikumist eesmärkide täitmise suunas. Näitajad on näiteks järgmised:

· 1. variandi puhul nende liikmesriikide arv, kes on määranud võrgu- ja infoturbe pädeva asutuse ja CERTi või võtnud vastu riikliku küberjulgeoleku strateegia ja riikliku küberintsidentideks valmisoleku- / koostöökava.

· 2. variandi puhul liikmesriikide pädevate asutuste ja CERTide arv, kes osalevad koostöövõrgus, ning võrgu ja info turvalisusega seotud riskide ja intsidentide kohta võrgus vahetatud teabe hulk.

· 3. variandi puhul oluliste eraettevõtjate ja haldusasutuste investeeringud võrgu ja info turvalisusse ning võrgu ja info turvalisusega seotud olulise mõjuga intsidentide arv, millest on teatatud.

[1]               KOM(2010) 517, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0517:FIN:ET:PDF