European flag

Teataja
Euroopa Liidu

ET

Seeria C

C/2024/1049

9.2.2024

Euroopa Regioonide Komitee arvamus teemal „ELi kübersolidaarsuse määrus ja digitaalne vastupanuvõime“

(C/2024/1049)

Raportöör:

Solna vallavolikogu liige Pehr GRANFAHLK (SE/EPP)

Viitedokument:

Ettepanek: Euroopa Parlamendi ja nõukogu määrus, millega nähakse ette meetmed, et tugevdada liidus solidaarsust ja suurendada suutlikkust küberohtude ja -intsidentide avastamiseks, nendeks valmistumiseks ja neile reageerimiseks

COM(2023) 209 final

I.   MUUDATUSETTEPANEKUTE SOOVITUSED

COM(2023) 209

Muudatusettepanek 1

Põhjendus 1

Euroopa Komisjoni ettepaneku tekst

Komitee muudatusettepanek

Info- ja kommunikatsioonitehnoloogia kasutamine ja sõltuvus sellest tehnoloogiast on muutunud oluliseks küsimuseks kõigis majandussektorites, kuna haldusasutused, ettevõtjad ja kodanikud on kõigis sektorites ja piiriüleselt omavahel seotud ja üksteisest sõltuvad rohkem kui kunagi varem.

Info- ja kommunikatsioonitehnoloogia kasutamine ja sõltuvus sellest tehnoloogiast on muutunud oluliseks küsimuseks , kuid toonud esile ka haavatavusi kõigis majandussektorites, kuna haldusasutused, ettevõtjad ja kodanikud on kõigis sektorites ja piiriüleselt omavahel seotud ja üksteisest sõltuvad rohkem kui kunagi varem.

Motivatsioon

Ei vaja selgitust.

Muudatusettepanek 2

Põhjendus 3

Euroopa Komisjoni ettepaneku tekst

Komitee muudatusettepanek

Vaja on suurendada liidu tööstus- ja teenustesektori konkurentsivõimet kogu digimajanduses ning toetada nende digiüleminekut, tõstes digitaalsel ühtsel turul küberturvalisuse taset. Nagu on soovitatud Euroopa tuleviku konverentsi kolmes ettepanekus, tuleb suurendada kodanike, ettevõtjate ja elutähtsas taristus tegutsevate üksuste võimet pidada vastu üha suurenevatele küberohtudele, millel võib olla laastav mõju ühiskonnale ja majandusele. […]

Vaja on suurendada liidu tööstus- ja teenustesektori konkurentsivõimet kogu digimajanduses ning toetada nende digiüleminekut, tõstes digitaalsel ühtsel turul küberturvalisuse taset. Nagu on soovitatud Euroopa tuleviku konverentsi kolmes ettepanekus, tuleb suurendada kodanike, ettevõtjate , riigi, piirkondliku ja kohaliku tasandi haldusasutuste ning elutähtsas taristus tegutsevate üksuste võimet pidada vastu üha suurenevatele küberohtudele, millel võib olla laastav mõju ühiskonnale ja majandusele. […]

Motivatsioon

Kohalikud ja piirkondlikud omavalitsused osutavad nii kodanikukeskseid kui ka ühiskonna jaoks tähtsaid teenuseid ning on elujõulise Euroopa turu üks põhielemente.

Muudatusettepanek 3

Põhjendus 29

Euroopa Komisjoni ettepaneku tekst

Komitee muudatusettepanek

Selleks et edendada järjekindlat lähenemisviisi ning suurendada turvalisust kogu liidus ja liidu siseturul, tuleks valmisolekumeetmete raames anda toetust direktiivi (EL) 2022/2555 kohaselt kindlaks tehtud ülikriitilise tähtsusega sektorites tegutsevate üksuste küberturvalisuse koordineeritud testimiseks ja hindamiseks. Selleks peaks komisjon ENISA toel ja koostöös direktiiviga (EL) 2022/2555 loodud võrgu- ja infoturbe koostöörühmaga määrama korrapäraselt kindlaks sektorid või allsektorid, kus on võimalik saada rahalist toetust koordineeritud testimiseks liidu tasandil. Need sektorid ja allsektorid tuleks valida direktiivi (EL) 2022/2555 I lisast („Kriitilise tähtsusega sektorid“). Koordineeritud testimine […]

Selleks et edendada järjekindlat lähenemisviisi ning suurendada turvalisust kogu liidus ja liidu siseturul, tuleks valmisolekumeetmete raames anda toetust direktiivi (EL) 2022/2555 kohaselt kindlaks tehtud ülikriitilise tähtsusega sektorites tegutsevate üksuste küberturvalisuse koordineeritud testimiseks ja hindamiseks. Selleks peaks komisjon ENISA toel ja koostöös direktiiviga (EL) 2022/2555 loodud võrgu- ja infoturbe koostöörühmaga määrama korrapäraselt kindlaks sektorid või allsektorid, kus on võimalik saada rahalist toetust koordineeritud testimiseks liidu tasandil. Need sektorid ja allsektorid tuleks valida direktiivi (EL) 2022/2555 I lisast („Kriitilise tähtsusega sektorid“) nagu ka piirkondliku ja kohaliku tasandi haldusasutused, olenemata sellest, kas neid saab liikmesriigi õiguse kohaselt pidada ülikriitilisteks . Koordineeritud testimine […]

Motivatsioon

Kuna liikmesriikidele antakse võimalus jätta küberturvalisuse 2. direktiivi (1) rakendamisel kõrvale kohalikud ja piirkondlikud omavalitsused, tuleks tagada, et nad on hõlmatud kübersolidaarsuse määrusega.

Muudatusettepanek 4

Põhjendus 30

Euroopa Komisjoni ettepaneku tekst

Komitee muudatusettepanek

Peale selle tuleks küberhädaolukorra mehhanismi kaudu toetada muid valmisolekumeetmeid ning valmisolekut sektorites, mis ei ole ülikriitilise tähtsusega sektorites tegutsevate üksuste koordineeritud testimisega hõlmatud. Nende meetmete hulka võivad kuuluda eri liiki riiklikud valmisolekumeetmed.

Peale selle tuleks küberhädaolukorra mehhanismi kaudu toetada muid valmisolekumeetmeid ning valmisolekut sektorites, mis ei ole kriitilise tähtsusega sektorites tegutsevate üksuste koordineeritud testimisega hõlmatud , nagu ka haldusasutused, olenemata sellest, kas neid saab liikmesriigi õiguse kohaselt pidada kriitilisteks . Nende meetmete hulka võivad kuuluda eri liiki riiklikud valmisolekumeetmed.

Motivatsioon

Kohalikele ja piirkondlikele omavalitsustele tuleks anda võimalus saada kasu küberhädaolukorra mehhanismi toetusest.

Muudatusettepanek 5

Põhjendus 33

Euroopa Komisjoni ettepaneku tekst

Komitee muudatusettepanek

Järk-järgult tuleks luua eraõiguslike turbetarnijate teenuseid hõlmav ELi küberreserv, et toetada reageerimist ja vahetut taastumist oluliste või ulatuslike küberintsidentide korral. Küberreserv peaks tagama teenuste kättesaadavuse ja kasutamisvalmiduse. Küberreservi teenustega tuleks toetada liikmesriikide ametiasutusi kriitilise või ülikriitilise tähtsusega sektorites tegutsevatele mõjutatud üksustele abi andmisel, täiendades liikmesriigi tasandil võetavaid meetmeid. Küberreservist toetust taotledes peaks liikmesriik nimetama, mis liiki toetust antakse mõjutatud üksusele liikmesriigi tasandil, mida tuleks arvesse võtta liikmesriigi taotluse hindamisel. Küberreservi teenustega võidakse toetada samadel tingimustel ka liidu institutsioone, organeid ja asutusi.

Järk-järgult tuleks luua eraõiguslike turbetarnijate teenuseid hõlmav ELi küberreserv, et toetada reageerimist ja vahetut taastumist oluliste või ulatuslike küberintsidentide korral. Küberreserv peaks tagama teenuste kättesaadavuse ja kasutamisvalmiduse. Küberreservi teenustega tuleks toetada liikmesriikide ametiasutusi mõjutatud üksustele abi andmisel, täiendades liikmesriigi tasandil võetavaid meetmeid. Küberreservist toetust taotledes peaks liikmesriik nimetama, mis liiki toetust antakse mõjutatud üksusele liikmesriigi tasandil, mida tuleks arvesse võtta liikmesriigi taotluse hindamisel. Küberreservi teenustega võidakse toetada samadel tingimustel ka liidu institutsioone, organeid ja asutusi.

Motivatsioon

ELi küberreservist tuleks toetust anda mõjutatud üksustele, kes tegutsevad mitte ainult kriitilise või ülikriitilise tähtsusega sektorites.

Muudatusettepanek 6

Artikli 1 lõike 2 punkt b

Euroopa Komisjoni ettepaneku tekst

Komitee muudatusettepanek

parandada kriitilise ja ülikriitilise tähtsusega sektorites tegutsevate üksuste valmisolekut kõikjal liidus ja tugevdada solidaarsust, suurendades suutlikkust reageerida ühiselt olulistele või ulatuslikele küberintsidentidele, sealhulgas tehes liidus küberintsidentidele reageerimiseks pakutava toetuse kättesaadavaks ka programmiga „Digitaalne Euroopa“ assotsieerunud kolmandatele riikidele;

parandada kriitilise ja ülikriitilise tähtsusega sektorites ning riigi või sellest madalama tasandi avalikus halduses tegutsevate üksuste valmisolekut kõikjal liidus ja tugevdada solidaarsust, suurendades suutlikkust reageerida ühiselt olulistele või ulatuslikele küberintsidentidele, sealhulgas tehes liidus küberintsidentidele reageerimiseks pakutava toetuse kättesaadavaks ka programmiga „Digitaalne Euroopa“ assotsieerunud kolmandatele riikidele;

Motivatsioon

Määrus peaks hõlmama ka riigitasandist madalama tasandi ametiasutusi.

Muudatusettepanek 7

Artikli 4 lõike 1 teine lõik

Euroopa Komisjoni ettepaneku tekst

Komitee muudatusettepanek

Riiklikul infoturbekeskusel peab olema suutlikkus tegutseda liikmesriigi tasandi kontaktpunktina teistele avaliku ja erasektori organisatsioonidele, et koguda ja analüüsida küberohte ja -intsidente käsitlevat teavet ning panustada piiriülese infoturbekeskuse tegevusse. […]

Riiklikul infoturbekeskusel peab olema suutlikkus tegutseda liikmesriigi ja sellest madalama tasandi kontaktpunktina teistele avaliku ja erasektori organisatsioonidele, et koguda ja analüüsida küberohte ja -intsidente käsitlevat teavet ning panustada piiriülese infoturbekeskuse tegevusse. […]

Motivatsioon

Riiklikud infoturbekeskused peaksid samuti koguma ja analüüsima piirkondliku ja kohaliku tasandi üksustelt saadavat teavet.

Muudatusettepanek 8

Artikli 5 lõige 2

Euroopa Komisjoni ettepaneku tekst

Komitee muudatusettepanek

Euroopa küberturvalisuse pädevuskeskus valib osalemiskutse alusel majutuskonsortsiumi, kellega koos osaleda vahendite ja taristute ühishankes. Euroopa küberturvalisuse pädevuskeskus võib anda majutuskonsortsiumile toetuse, et rahastada asjaomaste vahendite ja taristute käitamist. Liidu rahalise panusega kaetakse kuni 75 % vahendite ja taristute soetamise kuludest ning kuni 50 % käitamiskuludest; ülejäänud kulud katab majutuskonsortsium. Enne vahendite ja taristute soetamise menetluse algatamist sõlmivad Euroopa küberturvalisuse pädevuskeskus ja majutuskonsortsium majutus- ja kasutuslepingu, millega reguleeritakse vahendite ja taristute kasutamist.

Euroopa küberturvalisuse pädevuskeskus valib osalemiskutse alusel majutuskonsortsiumi, kellega koos osaleda vahendite ja taristute ühishankes. Euroopa küberturvalisuse pädevuskeskus võib anda majutuskonsortsiumile toetuse, et rahastada asjaomaste vahendite ja taristute käitamist. Liidu rahalise panusega kaetakse kuni 75 % vahendite ja taristute soetamise kuludest ning kuni 50 % käitamiskuludest; ülejäänud kulud katab majutuskonsortsium muudest võimalikest vahenditest, mis ei ole hõlmatud määrusega (EL) 2021/1060 (ühissätete määrus) . Enne vahendite ja taristute soetamise menetluse algatamist sõlmivad Euroopa küberturvalisuse pädevuskeskus ja majutuskonsortsium majutus- ja kasutuslepingu, millega reguleeritakse vahendite ja taristute kasutamist.

Motivatsioon

Kübersolidaarsuse määruse kohaseid meetmeid ei tohiks rahastada ühtekuuluvuspoliitika programmide kaudu.

Muudatusettepanek 9

Artikli 9 lõige 1

Euroopa Komisjoni ettepaneku tekst

Komitee muudatusettepanek

Luuakse küberhädaolukorra mehhanism, et suurendada liidu vastupidavusvõimet tõsiste küberohtude suhtes, valmistuda olulisteks ja ulatuslikeks küberintsidentideks ning solidaarsuse vaimus leevendada nende intsidentide lühiajalist mõju (edaspidi „mehhanism“).

Luuakse küberhädaolukorra mehhanism, et suurendada liidu vastupidavusvõimet küberohtude suhtes, valmistuda olulisteks ja ulatuslikeks küberintsidentideks ning solidaarsuse vaimus leevendada nende intsidentide lühiajalist mõju (edaspidi „mehhanism“).

Motivatsioon

Küberhädaolukorra mehhanism peaks olema valmis igat liiki küberturvalisuse intsidentide lühiajaliseks mõjuks ja seda leevendama.

Muudatusettepanek 10

Artikli 10 lõige 2 (uus)

Euroopa Komisjoni ettepaneku tekst

Komitee muudatusettepanek

 

2.     Komisjon koostab igal aastal aruande, milles hinnatakse mehhanismi toimimist ja võimalikku vajadust täiendavate koostöö- või koolitusnõuete järele.

Motivatsioon

Komisjon peaks esitama korrapäraseid aruandeid, sest küberturvalisuse valdkond areneb pidevalt ja nõudeid tuleb õigeaegselt kohandada tegelikkusele vastavaks.

Muudatusettepanek 11

Artikli 11 lõige 1

Euroopa Komisjoni ettepaneku tekst

Komitee muudatusettepanek

Selleks et toetada artikli 10 lõike 1 punktis a osutatud üksuste valmisoleku koordineeritud testimist kõikjal liidus, määrab komisjon pärast konsulteerimist võrgu- ja infoturbe koostöörühma ja ENISAga direktiivi (EL) 2022/2555 I lisas loetletud kriitilise tähtsusega sektorite seast kindlaks sektorid või allsektorid, mille üksuste valmisolekut koordineeritult testida, võttes arvesse juba tehtud ja kavandatud koordineeritud riskihindamist ja vastupidavusvõime testimist liidu tasandil.

Selleks et toetada artikli 10 lõike 1 punktis a osutatud üksuste valmisoleku koordineeritud testimist kõikjal liidus, määrab komisjon pärast konsulteerimist võrgu- ja infoturbe koostöörühma ja ENISAga direktiivi (EL) 2022/2555 I lisas loetletud kriitilise tähtsusega sektorite , sh kohalike haldusasutuste seast kindlaks sektorid või allsektorid, mille üksuste valmisolekut koordineeritult testida, võttes arvesse juba tehtud ja kavandatud koordineeritud riskihindamist ja vastupidavusvõime testimist liidu tasandil.

Motivatsioon

Kohalikele ja piirkondlikele omavalitsustele tuleks anda võimalus küberhädaolukorra mehhanismist kasu saada. Muudatusettepanekuga lisatakse kavandatud määruse artiklisse muudatusettepanekus 3 (põhjenduse 30 kohta) esitatud muudatus.

Muudatusettepanek 12

Artikli 14 lõike 2 punkt b

Euroopa Komisjoni ettepaneku tekst

Komitee muudatusettepanek

mõjutatud üksuse liik (esmatähtsaks peetakse intsidente, mis mõjutavad direktiivi (EL) 2022/2555 artikli 3 lõikes 1 määratletud elutähtsaid üksusi);

mõjutatud üksuse liik (esmatähtsaks peetakse intsidente, mis mõjutavad direktiivi (EL) 2022/2555 artikli 3 lõikes 1 määratletud elutähtsaid üksusi) , hõlmates kohaliku ja piirkondliku tasandi haldusasutusi ;

Motivatsioon

Ulatuse täpsustus, hõlmates riigi tasandist madalama tasandi üksusi.

Muudatusettepanek 13

Artikli 18 lõige 1

Euroopa Komisjoni ettepaneku tekst

Komitee muudatusettepanek

ENISA vaatab läbi ja hindab komisjoni, EU-CyCLONe või CSIRTide võrgustiku taotlusel konkreetse olulise või ulatusliku küberintsidendiga seotud ohte, nõrkusi ja leevendusmeetmeid. Pärast intsidendi läbivaatamist ja hindamist esitab ENISA CSIRTide võrgustikule, EU-CyCLONe-le ja komisjonile läbivaatamisaruande, et toetada neid nende ülesannete, eelkõige direktiivi (EL) 2022/2555 artiklites 15 ja 16 sätestatud ülesannete täitmisel. Asjakohasel juhul jagab komisjon aruannet kõrge esindajaga.

ENISA vaatab läbi ja hindab komisjoni, EU-CyCLONe või CSIRTide võrgustiku taotlusel konkreetse olulise või ulatusliku küberintsidendiga seotud ohte, nõrkusi ja leevendusmeetmeid. Pärast intsidendi läbivaatamist ja hindamist esitab ENISA CSIRTide võrgustikule, EU-CyCLONe-le ja komisjonile läbivaatamisaruande, et toetada neid nende ülesannete, eelkõige direktiivi (EL) 2022/2555 artiklites 15 ja 16 sätestatud ülesannete täitmisel. Võimaluse korral jagab CSIRTide võrgustik aruannet riigi tasandist madalama tasandi haldusasutustega. Asjakohasel juhul jagab komisjon aruannet kõrge esindajaga.

Motivatsioon

Ulatuse täpsustus, hõlmates riigi tasandist madalama tasandi üksusi.

II.   POLIITIKASOOVITUSED

EUROOPA REGIOONIDE KOMITEE SEISUKOHAD

Komitee väljendab heameelt Euroopa Komisjoni ettepaneku üle võtta vastu määrus, millega tugevdatakse Euroopa koostööd küberturvalisuse valdkonnas. ELi liikmesriigid on tänapäeval väga internetistatud ja digitaalselt ühendatud ning see tendents suureneb lähiaastatel veelgi. Seepärast väljendab komitee heameelt komisjoni algatuse üle tegeleda ühiselt küberohtudega, mida üha ulatuslikum digitaliseerimine põhjustab. Ettepanekus käsitletakse küberintsidentide arvu kasvu – eelkõige valdkondades, mille eest vastutavad kohalikud ja piirkondlikud omavalitsused – ning vajadust, et kriitilise tähtsusega kommunaaltaristu oleks valmis intsidentideks, käsitleks neid ja õpiks neist. Komitee arvates võivad komisjoni ettepanekud aidata suurendada digitaalset vastupidavusvõimet liidus.

1.

 Digitaalselt vastupidavusvõimelise Euroopa saavutamiseks on vaja, et nii poliitikud kui ka kodanikud tunnistaksid jõudude koondamise tähtsust küberturvalisuse valdkonnas. Seepärast kutsub komitee liikmesriike, komisjoni ja kõiki kohalikke omavalitsusi üles andma panuse teadlikkuse suurendamisse vajadusest võtta meetmeid, sealhulgas vajadusest suurendada investeeringuid digitaalsesse vastupanuvõimesse, eelkõige kohalikul ja piirkondlikul tasandil, ning kaaluma poliitikavahendite väljatöötamist, et kaitsta finantsstruktuure lunavararünnete eest. Selleks on tarvis piisavaid rahalisi, tehnilisi ja oskuste täiendamisele suunatud jõupingutusi.

2.

 Komitee märgib, et ettepanekus viidatakse sageli küberturvalisuse 2. direktiivile ja tuginetakse sellele. Küberturvalisuse 2. direktiivi riiklikul rakendamisel otsustab iga liikmesriik ise, kas kohalikud omavalitsused peaksid kuuluma selle direktiivi kohaldamisalasse (2). Kuna iga liikmesriik saab küberturvalisuse 2. direktiivi rakendamisel valida, kas määratleda kohalikke omavalitsusi elutähtsate või oluliste üksustena, võib see põhjustada riikides erinevusi kübersolidaarsuse määruse käsitlemisel praegu kavandatud kujul. Et vältida mõnes liikmesriigis oluliste toimingute eest vastutavate kohalike omavalitsuste väljajäämist kübersolidaarsuse määruse kohaldamisalast, peaks õigusakti tekstis selgelt väljendama, et nad tuleb kaasata, olenemata sellest, kas nad on hõlmatud küberturvalisuse 2. direktiiviga või mitte.

3.

 Tunnistades, et küberturvalisus on digitaalse koostalitlusvõime nurgakivi, on hädavajalik, et piirkondadevahelise koostalitlusvõime suurendamiseks tehtavaid jõupingutusi toetaksid tugevad küberturvalisuse meetmed tagamaks, et küberohud ei takistaks piirkondade koostalitlusvõimet kogu Euroopas.

4.

 Linnad ja piirkonnad peavad saama loodavatelt struktuuridelt konkreetset toetust, mitte ainult olema nende ees aruandekohustuslased. Komitee nõuab seetõttu suuremat selgust piirkondadele pakutava toetuse korraldamise kohta, iseäranis selleks, et tõsta küberturvalisuse taset väikestes omavalitsustes.

Seisukohad ettepaneku tegevusvaldkondade kohta

Euroopa küberkilp

Võtta kasutusele üleeuroopaline infoturbekeskuste taristu, et tagada ja parandada ühist suutlikkust avastada küberohte ja -intsidente ning analüüsida ja töödelda nende kohta saadud andmeid.

5.

 Tervikliku ülevaate saamiseks küberturvalisuse praegusest olukorrast ELis tuleb teavet, riskistsenaariume, ohte ja intsidente koguda ka kohalikelt ja riiklikelt süsteemide pakkujatelt. Komitee arvates on ohtlik, et puuduvad selged stiimulid ja protsessid selle kohta, kuidas linnad ja piirkonnad saaksid aktiivselt osaleda digitaalse vastupidavusvõime tugevdamisel. Kohaliku ja piirkondliku tasandi kaasamine on vastutuse seisukohalt keskse tähtsusega, sest sageli on nad rünnatavate digilahenduste omanikud. Seetõttu on oluline luua keskkond, milles linnad ja piirkonnad saavad olla ja peavad olema integreeritud ja kaasavad partnerid liidu küberturvalisuse suurendamisel.

6.

 Komitee analüüsides on kaitse- ja turvalisuse meetmete puhul ilmnenud riikide küpsustasemes suuri erinevusi. Isegi riigi sees on märkimisväärseid erinevusi näiteks riigiasutuste ja väiksemate kohalike omavalitsuste vahel nii küberturvalisuse alase suutlikkuse kui ka ambitsioonikuse osas. Seetõttu peab komitee oluliseks, et määruse abil edendataks nende erinevuste vähendamist ning tagataks, et kõigil asjaomastel osalejatel on suhteliselt võrdsed võimed ja püüdlused.

7.

 Komitee märgib, et uus riiklike ja piiriüleste infoturbekeskuste võrgustik võib dubleerida CSIRTide võrgustikule pandud ülesandeid (3). Kui CSIRTide kõrval luuakse riiklikud infoturbekeskused, on oluline selgelt sätestada, kuidas koostöö aset leiab ning millised on riikliku infoturbekeskuse ja CSIRTi kohustused intsidendi puhul.

8.

 Komitee väljendab heameelt määruse eelnõu konkreetsete eesmärkide ja kavandatud meetmete üle. Komitee peab samal ajal kahetsusväärseks, et vaatamata küberrünnete sagenemisele ei hõlmata kõnealuse ettepanekuga piisavalt kohalikke ja piirkondlikke omavalitsusi, ning soovitab seetõttu teha puuduste kõrvaldamiseks mitmeid seadusandlikke muudatusi.

9.

 Praegu puuduvad kohalikel ja piirkondlikel omavalitsustel andmed ja selged mõõtepunktid intsidentide, ohtude ja riskide kohta. Euroopa küberturvalisuse kilbi raames tuleks välja töötada näitajad, et näha, kuidas areng ja küpsus määruse kehtestamise käigus paranevad. Pikas perspektiivis võib näitajaid kasutada andmepõhises riskikaardis, osutades, kus on kõige suurem vajadus meetmete järele.

Küberhädaolukorra mehhanism

Eesmärk on suurendada valmisolekut, testida kriitilise tähtsusega sektorite valmisolekut, tugevdada intsidentidest taastumise võimet ja luua küberreserv.

10.

 Ulatuslikud intsidendid võivad tekkida kohalikest sündmustest. Ettepanekus tuleb näidata, kuidas nii infoturbekeskused kui ka küberreserv suudavad hõlmata tõsiseid kohalikke häireid, mitte ainult juba toimunud olulisi ja ulatuslikke intsidente. Teabe jagamine ei tohiks piirduda ulatuslike intsidentidega, vaid hõlmama ka võimalikke ohte.

11.

 Küberturvalisuse intsidentidega seotud teave on enamasti väga tundlik ning avaldamine võib sisaldada tehnilisi üksikasju või isegi isikuandmeid, mida ei saa praegu jagada, kui pooled ei ole sõlminud lepingut ja kokkulepet. Praegu on raskusi riigi tasandil teabe jagamisel, mistõttu on riigipiire ületav edastamine väga keeruline. Küberhädaolukorra mehhanismi toimimiseks peab komisjon tagama, et kõigil ELi küberreservi kaasatud osalistel, nii avaliku kui ka erasektori osalejatel, on teabe jagamiseks ja vastuvõtmiseks õiguslikud ja tehnilised eeldused. Komitee leiab, et esmajoones on vaja teavet levitada intsidentide lahendamiseks, st kuidas rünnatud üksused suudavad tegelikult kõige paremini suure intsidendiga toime tulla.

12.

 Komitee väljendab heameelt asjaolu üle, et kavandatavasse küberreservi kaasatud erasektori teenuseosutajatele kehtestatakse ranged nõuded. Nõuete sõnastamine ei tohi siiski kaasa tuua konkreetsete oskuste või süsteemiteadmiste välistamist, mistõttu suudaks turvateenuste osutajatele esitatavaid nõudeid täita vaid üksikud väga suured operaatorid. ELi tehtav töö turvalisuse vallas peab olema ulatuslik, et olla võimalikult vastupanuvõimeline.

13.

 Ettepaneku kohaselt kuuluvad küberreservi usaldusväärsed teenuseosutajad, kes sertifitseeritakse küberturvalisuse määruse (4) kohaselt. Euroopa Liidu Küberturvalisuse Amet (ENISA) vastutab selle eest, et tooted ja teenused vastavad sätestatud küberturvalisuse nõuetele. Komitee rõhutab, kui oluline on, et ENISA töötaks kiiresti välja sertifitseerimise kavad, et teenuseosutajaid saaks asjaomaste tehnoloogiate osas sertifitseerida (5).

14.

 Küberreservi loomisel on samuti oluline tagada, et see ei takistaks konkurentsi ega välistaks osalejaid, kes tegutsevad vaid mõnes liidu osas. Küberreservi ja sertifitseerimise kasutuselevõtt peab põhinema kiirel ja läbipaistval protsessil, et leida konkreetses olukorras kõige pädevamad ja asjakohasemad osalejad.

15.

 Komitee peab vajalikuks kaardistada riigis kriitilise tähtsusega süsteemide tehnoloogia pakkujad ja teenuseosutajad, ning koondada andmed teadmusbaasi. See teave võib osutuda väga väärtuslikuks meetmete puhul, mis nõuavad kohalike osalejate kaasamist. Teavet saab kasutada ka küberturvalisusoskuste akadeemia algatuses.

16.

 Intsidendi korral sõltub reageerimise mõju sellest, kui kiiresti võetakse meetmed kasutusele. Intsidente ja ohte käsitleva keerulise teabe jagamine peab kiiresti jõudma õigete sihtrühmadeni. Ettepaneku kohaselt on kavandatud luua uus teabevahetuse korraldus ja struktuur. Komitee toonitab, kui oluline on riiklike ja piiriüleste infoturbekeskuste loomisel kasutada ja täiustada olemasolevaid teabekanaleid, nagu EU-CyCLONe (6) ja CSIRT.

Küberintsidentide läbivaatamise mehhanism

Tegeleb küberturvalisuse intsidentide läbivaatamisega, eelkõige nendega, millel on olnud suur mõju.

17.

 Vajadus küberturbeoskuste järele ja selle valdkonna rahastamine järgib digiülemineku tugevat arengusuunda. Komitee väljendab heameelt komisjoni loodava küberturvalisusoskuste akadeemia üle ning nõuab selget strateegiat väiksemate ja väheste ressurssidega kohalike ja piirkondlike omavalitsuste tugevdamiseks, pidades silmas oskuste nappust ELis.

18.

 Komitee toonitab, et tugev digitaalne vastupanuvõime eeldab koostööd eri osalejate vahel, millesse annavad oma panuse avaliku ja erasektori asutused oma eksperditeadmiste, kogemuste ja töötajate kaudu. Komitee juhib tähelepanu kohalike ja piirkondlike omavalitsuste rollile digitaalse vastupanuvõime suurendamisel, kuna nad saavad üksteist toetada teadlikkuse suurendamise kampaaniate ning parimate tavade näidete ja eksperditeadmiste vahetamise abil. Mida rohkem ettevõtjaid oma digitaalsesse vastupanuvõimesse investeerivad, seda suuremad on rünnete kulud nende vastaste jaoks ja sellel võib olla ka heidutav mõju.

19.

 Praegu kannavad Euroopa kohalikud ja piirkondlikud omavalitsused ise oma kulud, mis on seotud küberturvalisuse kõrge taseme säilitamisega, ning ka intsidentidest tulenevad kulud. Komitee näeb ohtu selles, et määrus paneb lisakoormuse juba niigi pingeliste ressursside tingimustes. Seetõttu on oluline tagada, et määrus ei muutuks koormavaks, kuid et see hoopis suurendaks iga organisatsiooni suutlikkust konkreetsete vahendite, meetodite ja toetuse abil.

20.

 Komitee ei mõista, miks ei või läbivaatamisaruandeid jagada riiklike ja piiriüleste infoturbekeskuste võrgustikus. Ettepaneku kohaselt on riiklikel infoturbekeskustel vaid juurdepääs avalikule teabele. Intsidentidest õppimine on üks olulisimaid vahendeid, mis aitab osalejatel oma küberturvalisust parandada ja arendada. Seepärast tuleks teave koos kõigi üksikasjadega teha kättesaadavaks kõigile võrgustikus osalejatele.

21.

 Ettepanekus visandatakse rahastamine liiga üldisel tasandil. Komitee soovib palju selgemat kirjeldust selle kohta, kuidas vahendeid kavatsetakse kulutada ning kui palju suunatakse otse piirkondlikele ja kohalikele omavalitsustele.

22.

 Komitee rõhutab lõpetuseks, et ettepanek on kooskõlas subsidiaarsuse ja proportsionaalsuse põhimõttega.

Brüssel, 30. november 2023

Euroopa Regioonide Komitee president

Vasco ALVES CORDEIRO

(1)  Euroopa Parlamendi ja nõukogu 14. detsembri 2022. aasta direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) ELT L 333, 27.12.2022, lk 80).

(2)  Küberturvalisuse 2. direktiivi artikli 2 lõige 5: Liikmesriigid võivad ette näha, et käesolevat direktiivi kohaldatakse: a) kohaliku tasandi avaliku halduse üksuste suhtes.

(3)  Küberturvalisuse 2. direktiivi artikli 11 lõike 3 kohaselt on CSIRTidel järgmised ülesanded:

a)

korraldada küberohtude, nõrkuste ja intsidentide seiret ja analüüsi riiklikul tasandil, ning taotluse korral osutada abi asjaomastele elutähtsatele ja olulistele üksustele seoses nende võrgu- ja infosüsteemide reaalajas või reaalajalähedase seirega;

b)

tagada küberohtude, nõrkuste ja intsidentide kohta varajaste hoiatuste, hoiatuste ja teadete edastamine ning teabe levitamine asjaomastele elutähtsatele ja olulistele üksustele ning pädevatele asutustele ning muudele asjaomastele sidusrühmadele, võimaluse korral reaalajalähedaselt;

c)

lahendada intsidente ning, kui see on kohaldatav, abistada asjaomaseid elutähtsaid ja olulisi üksusi;

d)

koguda ja analüüsida kohtuekspertiisiandmeid ning analüüsida järjepidevalt riske ja intsidente ning tagada küberturvalisuse alane olukorrateadlikkus;

e)

kontrollida elutähtsa või olulise üksuse taotlusel ennetavalt selle üksuse võrgu- ja infosüsteeme, et teha kindlaks potentsiaalselt olulise mõjuga nõrkused;

f)

osaleda CSIRTide võrgustikus ning osutada teistele võrgustiku liikmetele nende taotluse korral oma võimekusele ja pädevusele vastavat vastastikust abi;

g)

kui see on kohaldatav, tegutseda artikli 12 lõikes 1 osutatud nõrkuste koordineeritud avalikustamise protsessi koordinaatorina;

h)

panustada artikli 10 lõike 3 kohaste turvaliste teabejagamisvahendite kasutuselevõtmisse.

(4)  Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta määrus (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) (ELT L 151, 7.6.2019, lk 15).

(5)  ENISA tegeleb praegu kolme veel lõpule viimata sertifitseerimisega järgmistes valdkondades: IKT, 5G ja pilveteenused, https://www.enisa.europa.eu/topics/standards/certification/eu-cybersecurity-certification-faq.

(6)  Küberturvalisuse 2. direktiivi artikli 16 lõiked 1 ja 3:

Euroopa küberkriisiga tegelevate kontaktasutuste võrgustik (EU-CyCLONe)

1.

EU-CyCLONe luuakse selleks, et toetada ulatuslike küberturbeintsidentide ja kriiside koordineeritud ohjamist operatiivsel tasandil ning tagada asjakohase teabe korrapärane vahetamine liikmesriikide ning liidu institutsioonide, organite ja asutuste vahel.

3.

EU-CyCLONe ülesanded on järgmised:

a)

tõsta valmisoleku taset ulatuslike küberturbeintsidentide ja kriiside ohjamiseks;

b)

arendada ühist olukorrateadlikkust ulatuslike küberturbeintsidentide ja kriiside korral;

c)

hinnata ulatuslike küberturbeintsidentide ja kriiside tagajärgi ja mõju ning pakkuda välja võimalikke leevendusmeetmeid;

d)

koordineerida ulatuslike küberturbeintsidentide ja kriiside ohjamist ning toetada selliste intsidentide ja kriisidega seotud otsuste tegemist poliitilisel tasandil;

e)

arutada asjaomase liikmesriigi taotlusel artikli 9 lõikes 4 osutatud riiklikke ulatuslike küberturbeintsidentide ja kriiside lahendamise kavasid.

ELI: http://data.europa.eu/eli/C/2024/1049/oj

ISSN 1977-0898 (electronic edition)