KOMISJONI TALITUSTE TÖÖDOKUMENT MÕJUHINNANGU KOMMENTEERITUD KOKKUVÕTE Lisatud dokumendile: Ettepanek: Euroopa Parlamendi ja nõukogu direktiiv meetmete kohta, millega tagada võrgu- ja infoturbe ühtlaselt kõrge tase kogu Euroopa Liidus /* SWD/2013/031 final */
KOMISJONI TALITUSTE TÖÖDOKUMENT MÕJUHINNANGU KOMMENTEERITUD KOKKUVÕTE Lisatud dokumendile: Ettepanek: Euroopa Parlamendi ja
nõukogu direktiiv meetmete kohta, millega tagada võrgu-
ja infoturbe ühtlaselt kõrge tase kogu Euroopa Liidus 1. Kohaldamisala Käesolevas mõjuhinnangus käsitletakse
poliitilisi võimalusi, mis aitaksid parandada interneti ning muude selliste
võrkude ja infosüsteemide turvalisust, millest sõltub meie ühiskonna toimimine
(nt avaliku halduse, rahanduse ja panganduse, energeetika, transpordi,
tervishoiu ning teatavate internetiteenuste vallas, mis on vajalikud oluliste
majanduslike ja ühiskondlike protsesside jaoks, näiteks e-kaubanduse platvormid
ja sotsiaalvõrgustikud). Teisisõnu räägitakse võrgu- ja infoturbest. 2. Poliitikaraamistik 2001. aastal tunnistas komisjon esimest korda
võrgu- ja infoturbe kasvavat tähtsust meie majanduse ja ühiskonna jaoks. Võrgu-
ja infoturbe kõrge taseme ja tulemuslikkuse tagamiseks ELis otsustas Euroopa
Ühendus 2004. aastal luua Euroopa Võrgu- ja Infoturbeameti (ENISA). Euroopa
Liidu senine lähenemine võrgu- ja infoturbele on seisnenud selles, et vastu on
võetud rida tegevuskavasid ja strateegiaid ärgitamaks liikmesriike parandama
oma võrgu- ja infoturbealast suutlikkust ning tegema koostööd võrgu ja info turvalisusega
seotud piiriüleste probleemide lahendamiseks. Algatuse eri
aspektide (probleemi määratlus ja seniste puuduste lahendamise võimalused) üle
on sidusrühmadega konsulteeritud järgmiselt: ·
23. juulist kuni 15. oktoobrini 2012 toimus avalik
internetikonsultatsioon „Võrgu- ja infoturbe parandamine ELis”. Komisjon
sai küsimustikule internetiplatvormi kaudu 169 vastust, millele lisandus veel
10 kirja teel saadetud vastust. ·
Liikmesriikidega toimusid
arutelud liikmesriikide Euroopa foorumi (EFMS) raames, kahepoolsetel
kohtumistel ning komisjoni ja Euroopa välisteenistuse korraldatud ELi
küberjulgeoleku konverentsil 6. juulil 2012. ·
Erasektori ettevõtjate
ja ühendustega toimusid arutelud vastupidavust käsitleva Euroopa avaliku
ja erasektori partnerluse ja kahepoolsete kohtumiste raames. ·
Arutelud ENISA ja CERT-EU-ga ·
Arutelud 2012. aasta digitaalarengu tegevuskava
assamblee raames 3. Probleemi kirjeldus 3.1. Probleemi määratlus Võib öelda, et probleem seisneb selles, et
üldjoontes on kaitse võrgu ja info turvalisusega seotud intsidentide,
riskide ja ohtude eest kogu ELis ebapiisaval tasemel ning see kahjustab
siseturu nõuetekohast toimimist. Võrgud ja infosüsteemid on omavahel seotud
ning internet on oma olemuselt globaalne nähtus ja see tähendab, et võrgu ja
info turvalisusega seotud intsidendid on sageli piiriülesed ja kahjustavad
siseturu toimimist. Turvalisuse rikkumise tõttu võivad piiriülesed
teenused lakata töötamast, need võidakse peatada või katkestada, nagu on
juhtunud eBay ja PayPali vastu suunatud rünnete korral. Seda, et probleemide
lahendamiseks ja olulise intsidendi kohta teabe jagamiseks tuleb kiiresti
tegutseda, oli näha ka Hollandi sertifitseerimiskeskuse Diginotar vastu
suunatud rünnete puhul. Asetleidnud intsidentide tõttu on liikmesriigid hakanud
kehtestama oma õigusnorme. Koordineerimatu regulatiivne sekkumine võib aga
kaasa tuua killustunud lähenemise ja tekitada siseturul tõkkeid, mis
põhjustavad õigusaktide täitmisega seotud kulusid nende ettevõtjate jaoks, kes
tegutsevad mitmes liikmesriigis. Kirjeldatud
probleemid mõjutavad kõiki ühiskonna ja majanduse osi (valitsused, ettevõtjad
ja tarbijad). Osadel sektoritel on oluline ülesanne pakkuda majanduse ja
ühiskonna jaoks olulisi tugiteenuseid ning nende süsteemide turvalisus on
siseturu toimimiseks eriti tähtis. Sellised sektorid on pangandus,
väärtpaberibörsid, energia tootmine, ülekandmine ja jaotamine, transport (õhu-,
raudtee- ja meretransport), tervishoid, oluliste internetiteenuste võimaldamine
ja avalik haldus. Avaliku konsultatsiooni käigus selgus, et sidusrühmad
toetavad võrgu- ja infoturbeküsimustega tegelemist neis sektorites ja vastavate
meetmete võtmist ELi tasandil. Kui üha
suureneva intsidentide hulgaga võitlemiseks ei võeta meetmeid, võib see
vähendada tarbijate usaldust võrguteenuste vastu ja seega kahjustada
digitaalarengu tegevuskava eesmärkide saavutamist. 3.2. Probleemi põhjused Määratletud probleemil on mitu põhjust. Esiteks on riikide suutlikkus ELi lõikes
ebaühtlane ning see takistab vastastikuse usalduse tekkimist, mis on aga
koostöö ja teabe jagamise üks eeldusi. Teiseks ei jagata intsidentide, riskide ja
ohtude kohta piisavalt teavet. Enamikust võrgu ja info turvalisusega seotud
intsidentidest ei teatata ja need jäävad märkamata peamiselt seepärast, et
ettevõtjad ei soovi sellist teavet jagada, kartes, et see kahjustab nende
mainet või toob kaasa vastutuselevõtmise. Olemasolevates avaliku ja erasektori
partnerlustes või platvormides, näiteks EFMSi ja Euroopa avaliku ja erasektori
partnerluse puhul piirdub teabevahetus parimate tavade jagamisega. 4. Seniste meetmete tulemuslikkus 4.1. Tühimikud praeguses
õigusraamistikus Praeguste eeskirjade kohaselt peavad võrgu- ja
info turvalisusega seotud riskide haldamiseks ja sellealastest intsidentidest
teatamiseks võtma meetmeid vaid telekommunikatsiooniettevõtted. Turvariskid aga
puudutavad kõiki, kes kasutavad võrke ja infosüsteeme. Selline olukord loob
ebavõrdsed tingimused, sest kui sama intsident mõjutab näiteks
telekommunikatsiooniettevõtet ja IP-kõne (VoIP) teenuseid pakkuvat ettevõtet,
siis riigi pädevale asutusele peab sellest teatama vaid
telekommunikatsiooniettevõte. Andmekaitsealase õigusraamistiku kohaselt on
vastutavatel töötlejatel (näiteks pankadel ja haiglatel) kohustus võtta
kasutusele neid ähvardavate riskidega proportsionaalsed turvameetmed. Samas on
vastutavatel töötlejatel kohustus teatada vaid neist turvalisuse rikkumistest,
mis kahjustavad isikuandmeid. Nõukogu direktiiv 2008/114/EÜ Euroopa
elutähtsate infrastruktuuride identifitseerimise ja määramise kohta puudutab
ainult energeetika- ja transpordisektorit ning praeguseks on liikmesriigid
identifitseerinud vaid üksikud Euroopa elutähtsad infrastruktuurid.
Direktiiviga ei kohustata operaatoreid teatama olulistest turvalisuse
rikkumistest ega looda mehhanisme, mis võimaldaksid liikmesriikidel koostööd
teha ja intsidentidele reageerida. Kaasseadusandjad arutlevad praegu komisjoni
ettepaneku üle, milles käsitletakse direktiivi infosüsteemide vastu suunatud
rünnete kohta[1].
Ettepanekus käsitletakse vaid teatavat liiki käitumise kuritegelikuks
tunnistamist ega pöörata tähelepanu võrgu ja info turvalisusega seotud
intsidentide ja riskide vältimisele, sellistele intsidentidele reageerimisele
ja nende mõju leevendamisele. 4.2. Vabatahtlikkusele rajatud
lähenemisviisi piiratus Senine vabatahtlikkusel põhinev lähenemisviis
on tekitanud olukorra, kus valmisoleku tase on ebaühtlane ja koostöö piiratud. Liikmesriikide Euroopa foorumi võimalused on
piiratud, sest liikmesriigid ei jaga teavet intsidentide, riskide ja ohtude
kohta ega tee koostööd piiriüleste ohtude tõrjumiseks. Foorumil ei ole
volitusi nõuda oma liikmetelt minimaalse suutlikkuse taset. ENISA-l ei ole operatiivse tegutsemise
volitusi ja seega ei saa ta näiteks võrgu ja info turvalisusega seotud probleemide
korral sekkuda. Euroopa avaliku ja erasektori partnerlusel ei
ole ametlikku staatust ja seega ei saa ta kohustada erasektorit intsidentidest
riikide ametiasutustele teatama. Nimetatud partnerlusel puudub raamistik, mis
võimaldaks usaldusväärselt teavet jagada ning võrgu ja info turvalisusega
seotud ohte, riske ja intsidente käsitlevat teavet edastada. 5. Vajadus ELi sekkumise järele,
subsidiaarsus ja proportsionaalsus Võrgu ja info turvalisuse tagamine on hästi
toimiva siseturu ja meie ühiskonna heaolu jaoks hädavajalik. ELi toimimise
lepingu artikkel 114 on sobiv õiguslik alus, mille põhjal ühtlustada võrgu- ja
infoturbe nõuded ja kehtestada kogu ELis turvalisuse miinimumtase. ELi sekkumist võrgu- ja infoturbe vallas
õigustab subsidiaarsuse põhimõte, sest tegemist on oma olemuselt
piiriülese probleemiga ning ELi tasandi tegevus suurendaks seniste riiklike
põhimõtete tõhusust ja tekitaks seega lisaväärtust. Kõiki liikmesriike hõlmava koostöö tagamiseks
tuleb veenduda, et neil kõigil oleks suutlikkuse nõutav miinimumtase. Pealegi
on selge, et kooskõlastatud ja koostööl põhinevad võrgu- ja infoturbepoliitika
meetmed võivad avaldada tugevat positiivset mõju tõhusale põhiõiguste kaitsele,
eriti isikuandmete ja eraelu puutumatuse õiguse kaitsele. Eelistatud variandi kohased meetmed on
õigustatud ka proportsionaalsuse põhimõtte kohaselt, sest
liikmesriikidele esitatavad nõuded kehtestatakse kõige madalamal tasemel, mille
korral on võimalik saavutada piisav valmisolek ja teha usaldusele tuginevat
koostööd, ning ettevõtjatele ja riigiasutustele esitatavad nõuded seoses
riskide haldamise ja intsidentidest teatamisega keskenduvad vaid elutähtsatele
üksustele ja toovad kaasa meetmed, mis on riskidega proportsionaalsed ja
puudutavad olulise mõjuga intsidente. Lisaks eelöeldule ei põhjustaks
eelistatud variandi kohased meetmed ebaproportsionaalseid kulusid. 6. Eesmärgid Üldine eesmärk on suurendada kaitset võrgu ja
info turvalisust ähvardavate intsidentide, riskide ja ohtude vastu kogu ELis.
Erieesmärgid on järgmised: ·
1. eesmärk: luua
liikmesriikides võrgu- ja infoturbe ühine miinimumtase ning parandada seeläbi
valmisoleku ja reageerimissuutlikkuse üldist taset. ·
2. eesmärk: parandada
ELi tasandil võrgu- ja infoturbealast koostööd, et tulla tõhusalt toime
piiriüleste intsidentide ja ohtudega. ·
3. eesmärk: luua
riskihalduskultuur ja parandada teabevahetust avaliku ja erasektori vahel. 7. Põhimõttelised valikuvariandid Käesolevas mõjuhinnangus on kaalutud järgmisi
põhimõttelisi valikuvariante: tavapärane tegevus, regulatiivne lähenemine ja
kombineeritud lähenemine. Kõrvale on jäetud variant, mille puhul lõpetataks
igasugune ELi tegevus võrgu- ja infoturbe vallas. 7.1. 1. variant: tavapärane
tegevus (lähtestsenaarium) Komisjon jätkaks ENISA abil praegust
vabatahtlikul tegutsemisel põhinevat lähenemisviisi, mille raames kutsutakse
liikmesriike üles looma võrgu- ja infoturbe alast suutlikkust riigi tasandil
(nt CERTid, riiklikud küberintsidentide / ootamatustega toimetuleku kavad,
riiklikud küberjulgeoleku strateegiad) ning tegema koostööd ELi tasandil (nt
CERTide üleeuroopalise võrgu ja küberintsidentideks valmisoleku kavade /
koostöökavade kaudu). 7.2. 2. variant: regulatiivne
lähenemine Komisjon nõuaks kõigilt liikmesriikidelt
vähemalt miinimumtasemel suutlikkust (CERTid, pädevad asutused, riiklikud
küberintsidentide / ootamatustega toimetuleku kavad, riiklikud küberjulgeoleku
strateegiad). Kõnealuse regulatiivse lähenemise kohaselt
peaksid riikide pädevad asutused ja CERTid olema osa ELi tasandi koostöövõrgust.
Asutused ja CERTid vahetaksid võrgu raames teavet ja teeksid koostööd, et tulla
toime võrgu ja info turvalisusega seotud ohtude ja intsidentidega vastavalt Euroopa
küberintsidentideks valmisoleku kavale / koostöökavale, milles
liikmesriigid peaksid kokkuleppele jõudma. Konkreetsetes elutähtsates sektorites, näiteks
panganduses, energeetikas (elektrienergia ja maagaas), transpordis, tervishoius
ja peamiste internetiteenuste võimaldamise vallas tegutsevad ettevõtjad (v.a
mikroettevõtjad) ja haldusasutused peaksid hindama nende ees olevaid riske ja
võtma reaalsete riskide ohjeldamiseks asjakohaseid ja proportsionaalseid
meetmeid. Lisaks peaksid need ettevõtjad ja asutused teatama pädevatele
asutustele intsidentidest, mis kahjustavad raskelt nende võrkude ja infosüsteemide
tööd ja mõjutavad seega märgatavalt võrkudest ja infosüsteemidest sõltuvate
teenuste ja kaupade pakkumise pidevust. Siinjuures lähtutakse elektroonilise
side raamdirektiivi artiklites 13a ja 13b esitatud struktuurist. 7.3. 3. variant: kombineeritud lähenemine Komisjon ühendaks liikmesriikide heal tahtel
põhinevad ning liikmesriikide võrgu- ja infoturbe valdkonna suutlikkuse
loomisele või tugevdamisele ja ELi tasandi koostöömehhanismide loomisele
suunatud vabatahtlikud algatused regulatiivsete nõuetega olulistele
eraettevõtjatele ja haldusasutustele. Vabatahtlikud algatused oleksid
põhimõtteliselt samalaadsed, nagu kirjeldatud 1. variandi puhul, regulatiivsed
nõuded oleksid aga täpselt samad, nagu kehtestataks 2. variandi puhul, seda nii
nende asutuste ja ettevõtjate osas, kellele nad suunatud oleksid, kui ka
kohustuste sisu mõttes. ENISA toetaks komisjoni, liikmesriike ja
erasektorit ja annaks neile tehnilist nõu näiteks tehniliste suuniste ja
soovituste näol. 8. Mõjuanalüüs Lisaks turvalisuse tasemele käsitletakse
hinnangus ka kolme variandi majanduslikku ja ühiskondlikku mõju. Käsitletakse
ka 2. ja 3. variandiga kaasnevaid kulusid. Ühegi kirjeldatud variandi keskkonnamõju ei
ole võimalik täpselt prognoosida. 8.1. 1. variant: tavapärane
tegevus (lähtestsenaarium) Turvalisuse tase:
on ebatõenäoline, et kõigi liikmesriikide suutlikkus ja valmisolek, mis on
vajalik turvalisuse parandamiseks ning koostöö ja usaldusväärse teabejagamise
võimaldamiseks ELi tasandil, jõuaks võrreldavale tasemele. Riskihalduses ja
intsidentide suuremas läbipaistvuses ei saavutataks võrdseid tingimusi ning
seega säiliksid praegused õigustühimikud. Majanduslik mõju: mõju
ulatus oleneks sellest, kui suures ulatuses järgivad liikmesriigid komisjoni
soovitusi. Vähem arenenud liikmesriikide
ebapiisav turbetase vähendaks nende konkurentsivõimet ja majanduskasvu ning
jätaks nad avatuks riskidele ja intsidentidele. Praegusi
suundumusi arvestades muutuksid võrgu ja info turvalisusega seotud intsidendid
tõenäoliselt ettevõtjatele ja tarbijatele üha nähtavamaks ning hakkaksid
takistama siseturu väljakujundamist. Ühiskondlik mõju: intsidentide,
riskide ja ohtude jätkumine ja eeldatav raskemaks muutumine kahjustaks kodanike
usaldust internetikeskkonna suhtes. 8.2. 2. variant: regulatiivne
lähenemine Turvalisuse tase: Liikmesriikidele
pandud kohustused tagaksid neile kõigile piisava valmisoleku ning aitaksid
kaasa vastastikku usaldusliku õhkkonna loomisele, mis on ELi tasandi tõhusa
koostöö eeltingimus. Võrgu ja info turvalisusega seotud riskide
haldamise nõuete kehtestamine haldusasutustele ja olulistele eraettevõtetele
motiveeriks turvalisusega seotud riske tulemuslikult haldama. Nende nõuete täitmisest tulenevad täiendavad kulud
ulatuksid ELi eri sektorites kokku 1–2 miljardi euroni. Väikeste ja keskmise suurusega ettevõtjate
jaoks oleksid nõuete täitmise kulud vahemikus 2500–5000 eurot. Majanduslik mõju: Tänu
turvalisuse taseme kasvule väheneksid võrgu ja info turvalisusega seotud
riskide ja intsidentidega kaasnevad finantskahjud. Ettevõtjate
ja tarbijate usaldus digitaalse maailma vastu kasvaks ning sellest oleks
siseturule kasu. Tõhusa riskihalduskultuuri
levik suurendaks nõudlust ka turvaliste IKT-toodete ja -lahenduste järele. Ühiskondlik mõju: Suurem
turvalisus parandaks kodanike usaldust interneti vastu ning laseks neil
täielikult ära kasutada digimaailma pakutavaid võimalusi, nt sotsiaalmeediat,
e-õpet, e-tervist. 8.3. 3. variant: kombineeritud
lähenemine Turvalisuse tase:
nagu ka 1. variandi puhul, ei ole mingit
tagatist, et riikide info- ja võrguturbe alasele suutlikkusele ja ELi tasandi
koostööle rajatud turvalisuse tase paraneks vabatahtlike algatuste tulemusena. Samas motiveeriks haldusasutustele ja
olulistele eraettevõtetele turvanõuete kehtestamine turvalisusega seotud riske
haldama ja ohjeldama. Sellised mehhanismid ei
annaks siiski tulemusi neis liikmesriikides, kus ei järgitaks komisjoni
soovitusi võrgu- ja infoturbealase suutlikkuse loomise kohta. Majanduslik mõju:
eri liimesriikide arengutempo oleks väga
varieeruv. Vähem arenenud liikmesriikide
ebapiisav turbetase vähendaks nende konkurentsivõimet ja majanduskasvu ning
neid ähvardaks riskide ja intsidentide kahjulik mõju.
Ühiskondlik mõju:
intsidentide, riskide ja ohtude jätkumine ja
eeldatav raskemaks muutumine kahjustaks kodanike usaldust internetikeskkonna
suhtes eriti neis liikmesriikides, kus ei peeta võrgu ja info turvalisust
esmatähtsaks. 9. Variantide võrdlus 1. ja 3. varianti ei peeta poliitiliste
eesmärkide saavutamise seisukohast tulemustandvateks ning seega nende kasutamist
ei soovitata, sest nende tulemuslikkus oleneks sellest, kas vabatahtlikkusel
põhinev lähenemine võimaldaks tegelikult saavutada võrgu ja info turvalisuse
miinimumtaseme. 3. variandi tulemuslikkus oleneks liikmesriikide heast tahtest
luua suutlikkus ja teha piiriülest koostööd. Eelistatakse 2. varianti, sest selle variandi
puhul paraneks ELi tarbijate, ettevõtjate ja valitsuste kaitstus võrgu ja info
turvalisusega seotud intsidentide, ohtude ja riskide eest märkimisväärselt.
Pealegi saaks EL pärast oma koduste asjade kordaseadmist laiendada
tegevusulatust rahvusvahelises plaanis ning olla veelgi usaldusväärsem
koostööpartner kahe- ja mitmepoolsetes suhetes. Selle tulemusena paraneks ELi
positsioon ning ta saaks põhiõigusi ja ELi põhiväärtusi mujal maailmas paremini
propageerida. 10. Seire ja hindamine Mõju hindamise aruande 10. peatükis on
kirjeldatud põhinäitajaid, mis võimaldavad hinnata liikumist eesmärkide
täitmise suunas. Näitajad on näiteks järgmised: ·
1. variandi puhul nende liikmesriikide arv, kes on
määranud võrgu- ja infoturbe pädeva asutuse ja CERTi või võtnud vastu riikliku
küberjulgeoleku strateegia ja riikliku küberintsidentideks valmisoleku- /
koostöökava. ·
2. variandi puhul liikmesriikide pädevate asutuste
ja CERTide arv, kes osalevad koostöövõrgus, ning võrgu ja info turvalisusega
seotud riskide ja intsidentide kohta võrgus vahetatud teabe hulk. ·
3. variandi puhul oluliste eraettevõtjate ja
haldusasutuste investeeringud võrgu ja info turvalisusse ning võrgu ja info
turvalisusega seotud olulise mõjuga intsidentide arv, millest on teatatud. [1] KOM(2010) 517, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0517:FIN:ET:PDF