52013SC0031

KOMISSION YKSIKÖIDEN VALMISTELUASIAKIRJA

TIIVISTELMÄ VAIKUTUSTEN ARVIOINNISTA

Oheisasiakirja

ehdotukseen Euroopan parlamentin ja neuvoston direktiiviksi

toimenpiteistä korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa

1.           Soveltamisala

Tässä vaikutusarvioinnissa tarkastellaan toimintavaihtoehtoja, joilla voidaan parantaa internetin ja muiden sellaisten verkkojen ja tietojärjestelmien turvallisuutta, jotka muodostavat perustan yhteiskunnan toimintaa tukeville palveluille (esim. julkishallinnossa, rahoitus- ja pankkialalla, energia- ja liikenneverkoissa ja terveydenhuollossa) ja tietyille keskeisiä talouden ja yhteiskunnan prosesseja tukeville internet-palveluille (esim. sähköisen kaupankäynnin alustat ja sosiaaliset verkot). Tätä kutsutaan yleisesti verkko- ja tietoturvaksi.

2.           Poliittinen tausta

Komissio nosti verkko- ja tietoturvan kasvavan merkityksen taloudelle ja yhteiskunnalle ensimmäistä kertaa esiin vuonna 2001. Varmistaakseen verkko- ja tietoturvan korkean ja toimivan tason EU:ssa Euroopan yhteisö päätti vuonna 2004 perustaa Euroopan verkko- ja tietoturvaviraston (ENISA). Euroopan unionin verkko- ja tietoturva-asioissa toistaiseksi omaksuma lähestymistapa on koostunut pääasiassa toimintasuunnitelmista ja strategioista, joissa jäsenvaltioita kehotetaan lisäämään verkko- ja tietoturvavalmiuksia sekä yhteistyötä valtioiden rajat ylittävien verkko- ja tietoturvaongelmien ratkaisemiseksi.

Sidosryhmiä on kuultu aloitteen eri näkökohdista (ongelman määrittely ja vaihtoehdot nykyisten puutteiden korjaamiseksi)

· verkko- ja tietoturvan parantamisesta 23. heinäkuuta – 15. lokakuuta 2012 järjestetyssä julkisessa verkkokuulemisessa, jossa komissio sai 169 kannanottoa verkkosivun kautta ja 10 kirjallisesti,

· keskusteluissa, joita on käyty jäsenvaltioiden kanssa Euroopan jäsenvaltiofoorumilla (EFMS), kahdenvälisissä tapaamisissa sekä komission ja Euroopan ulkosuhdehallinnon 6.7.2012 järjestämän EU:n kyberturvallisuuskonferenssin yhteydessä,

· keskusteluissa, joita on käyty yksityissektorin yritysten ja järjestöjen kanssa järjestelmien sietokyvyn parantamiseen tähtäävän eurooppalaisen julkis-yksityisen kumppanuuden (EP3R) yhteydessä ja kahdenvälisissä tapaamisissa,

· ENISAn ja CERT-EU:n kanssa käydyissä keskusteluissa ja

· vuoden 2012 digitaalistrategian yleiskokouksen yhteydessä käydyissä keskusteluissa.

3.           Ongelman kuvaus

3.1.        Ongelman määrittely

Ongelma voidaan kuvata siten, että yleisesti ottaen verkko- ja tietoturvapoikkeamilta, ‑riskeiltä ja ‑uhilta suojautuminen on EU:ssa riittämättömällä tasolla, mikä vaarantaa sisämarkkinoiden moitteettoman toiminnan.

Koska verkot ja tietojärjestelmät ovat yhteenliitettyjä ja internet on luonteeltaan globaali, monet verkko- ja tietoturvapoikkeamat ylittävät kansalliset rajat ja vaarantavat sisämarkkinoiden toiminnan.

Rajatylittävät palvelut voivat lakata toimimasta, keskeytyä tai katketa turvaloukkausten vuoksi. Näin kävi esimerkiksi eBay- tai PayPal-palveluihin kohdistuneiden hyökkäysten yhteydessä. Tarve toimia nopeasti ongelmien ratkaisemiseksi ja tiedon jakamiseksi merkittävästä turvapoikkeamasta tuli korostetusti esiin hollantilaiseen varmennepalveluja tarjonneeseen DigiNotar-yritykseen kohdistuneiden hyökkäysten tapauksessa. Tapahtuneiden turvapoikkeamien johdosta jäsenvaltiot ovat alkaneet ottaa käyttöön omaa lainsäädäntöä. Koordinoimattomat sääntelylliset toimenpiteet voivat kuitenkin johtaa hajanaisuuteen ja synnyttää sisämarkkinoille esteitä, mikä lisää säännösten noudattamisesta aiheutuvia kustannuksia sellaisille yrityksille, jotka toimivat useammassa kuin yhdessä jäsenvaltiossa.

Ongelma koskee kaikkia yhteiskunnan ja talouden osia (hallintoa, yritystoimintaa ja kuluttajia). Erityisesti on pantava merkille, että monet sektorit tarjoavat keskeisiä tukipalveluja taloudelle ja yhteiskunnalle, minkä vuoksi niiden järjestelmien turvallisuudella on erityinen merkitys sisämarkkinoiden toiminnan kannalta. Näitä sektoreja ovat pankkiala, arvopaperipörssit, energian tuotanto, siirto ja jakelu, liikenne (lento-, rautatie- ja meriliikenne), terveydenhuolto, keskeisten internet-palvelujen infrastruktuurit sekä julkishallinnot. Julkinen kuuleminen osoitti, että sidosryhmät kannattavat vahvasti verkko- ja tietoturvakysymyksiin puuttumista näillä sektoreilla ja tarvittaviin toimenpiteisiin ryhtymistä EU:n tasolla.

Jos turvapoikkeamien lisääntymiseen ei vastata uusilla toimenpiteillä, kuluttajien luottamus verkkopalveluihin voi kärsiä, mikä voi puolestaan vaarantaa digitaalistrategian tavoitteiden saavuttamisen.

3.2.        Ongelman syyt

Määritelty ongelma johtuu monista syistä.

Ensinnäkin kansallisen tason valmiudet vaihtelevat tasoltaan eri puolilla EU:ta, mikä haittaa luottamuksen muodostumista vertaisryhmien kesken edellytyksenä yhteistyölle ja tiedon jakamiselle.

Toiseksi turvapoikkeamista, -riskeistä ja -uhista ei jaeta riittävästi tietoa. Suurin osa verkko- ja tietoturvapoikkeamista jää raportoimatta ja huomiotta lähinnä siksi, että yritykset ovat haluttomia jakamaan tätä tietoa pelätessään maineensa kärsivän tai joutuvansa korvausvastuuseen. Nykyisissä julkis-yksityisissä kumppanuuksissa, kuten EFMS:ssä ja EP3R:ssä, harjoitettava tiedonvaihto rajoittuu parhaisiin toimintatapoihin.

4.           Tämänhetkisten toimenpiteiden tuloksellisuus

4.1.        Nykyisen sääntelykehyksen puutteita

Nykyisissä säännöissä ei vaadita teleyritysten lisäksi miltään muilta toimijoilta verkko- ja tietoturvan riskinhallintatoimenpiteitä ja verkko- ja tietoturvapoikkeamista raportoimista. Turvariskit kohdistuvat kuitenkin kaikkiin verkko- ja tietojärjestelmistä riippuvaisiin toimijoihin. Tämä johtaa epätasapuolisiin toimintaedellytyksiin, koska samasta tapahtumasta, joka vaikuttaa esimerkiksi sekä teleyritykseen että internet-välitteisiä puhelinpalveluja (VoIP) tarjoavaan yritykseen, olisi ilmoitettava kansalliselle toimivaltaiselle viranomaiselle edellisessä tapauksessa mutta ei jälkimmäisessä.

Tietosuojan sääntelykehys velvoittaa kaikki toimijat, jotka ovat rekisterinpitäjiä (esim. pankin tai sairaalan), ottamaan käyttöön niihin kohdistuviin riskeihin suhteutetut turvatoimenpiteet. Rekisterinpitäjät ovat kuitenkin velvollisia ilmoittamaan vain henkilötiedot vaarantaneista turvaloukkauksista.

Euroopan elintärkeän infrastruktuurin määrittämisestä ja nimeämisestä annettu neuvoston direktiivi 2008/114/EY kattaa ainoastaan energia- ja liikennesektorit, ja tähän mennessä jäsenvaltiot ovat määrittäneet vain harvoja infrastruktuureja Euroopan elintärkeiksi infrastruktuureiksi. Direktiivissä ei velvoiteta toimijoita ilmoittamaan merkittävistä turvaloukkauksista eikä luoda mekanismeja jäsenvaltioiden yhteistyötä ja turvapoikkeamiin reagoimista varten.

Lainsäädäntövallan käyttäjät keskustelevat parhaillaan komission ehdotuksesta direktiiviksi tietojärjestelmiin kohdistuvista hyökkäyksistä[1]. Ehdotus kattaa pelkästään tiettyjen toimintojen kriminalisoimisen, eikä siinä käsitellä verkko- ja tietoturvariskien ja ‑poikkeamien ennaltaehkäisyä, verkko- ja tietoturvapoikkeamiin reagoimista eikä niiden vaikutusten lieventämistä.

4.2.        Vapaaehtoisuuteen perustuvan lähestymistavan rajoitukset

Toistaiseksi noudatettu vapaaehtoisuuteen perustuva lähestymistapa on johtanut vaihtelevaan varautumistasoon ja rajalliseen yhteistyöhön.

EFMS:n toimintamahdollisuudet ovat rajalliset, koska jäsenvaltiot eivät jaa tietoa tietoturvapoikkeamista, ‑riskeistä ja ‑uhista eivätkä tee yhteistyötä rajat ylittävien uhkien torjumiseksi. EFMS:llä ei ole valtaa edellyttää jäseniltään vähimmäisvalmiuksia.

ENISA:lle ei ole operatiivisia valtuuksia eikä se voi esimerkiksi tulla väliin verkko- ja tietoturvaongelmatilanteissa.

EP3R:llä ei ole virallista asemaa eikä se voi vaatia yksityistä sektoria raportoimaan turvapoikkeamista kansallisille viranomaisille. EP3R ei voi tarjota puitteita luotettavalle tiedonjaolle ja viestinnälle verkko- ja tietoturvauhista, ‑riskeistä ja ‑poikkeamista.

5.           EU: n toiminnan tarve, toissijaisuus ja suhteellisuus

Verkko- ja tietoturvan varmistaminen on ratkaisevan tärkeää sisämarkkinoiden moitteettoman toiminnan ja yhteiskunnan hyvinvoinnin kannalta. SEUT-sopimuksen 114 artikla on asianmukainen oikeusperusta verkko- ja tietoturvavaatimusten yhdenmukaistamiselle ja yhteisen vähimmäisturvatason käyttöönotolle koko EU:ssa.

Unionin toiminta verkko- ja tietoturvan alalla on perusteltua toissijaisuusperiaatteen perusteella, koska ongelma on luonteeltaan valtioiden rajat ylittävä ja koska nykyisten kansallisten toimintamallien tuloksellisuus paranisi EU-tason toiminnan ansiosta johtaen lisäarvoon.

Jotta yhteistyö käsittäisi kaikki jäsenvaltiot, on tarpeen varmistaa, että kaikilla niillä on vaadittavat vähimmäistason valmiudet. Lisäksi on selvää, että yhteensovitetuilla ja yhteistoimintaan perustuvilla verkko- ja tietoturvapoliittisilla toimilla voi olla voimakas myönteinen vaikutus tehokkaaseen perusoikeuksien suojaan ja erityisesti henkilötietojen ja yksityisyyden suojaan.

Parhaaksi arvioidun vaihtoehdon toimenpiteet ovat perusteltuja suhteellisuusperiaatteen perusteella, koska jäsenvaltioille asetettavat vaatimukset rajoittuvat vähimpään tarvittavaan riittävän varautumistason saavuttamiseksi ja luottamukseen perustuvan yhteistyön luomiseksi ja koska yrityksille ja viranomaisille asetettavat riskinhallintaa ja turvapoikkeamien raportointia koskevat vaatimukset kohdistuvat vain kriittisiin toimijoihin ja vaatimusten edellyttämät toimenpiteet ovat oikeassa suhteessa riskeihin ja koskevat vaikutuksiltaan merkittäviä turvapoikkeamia. Lisäksi parhaaksi arvioidun vaihtoehdon toimenpiteet eivät aiheuttaisi kohtuuttomia kustannuksia.

6.           Tavoitteet

Yleistavoitteena on parantaa verkko- ja tietoturvapoikkeamilta, ‑riskeiltä ja ‑uhilta suojautumisen tasoa kaikkialla EU:ssa. Erityistavoitteet ovat seuraavat:

· Tavoite 1 – Siirtyä verkko- ja tietoturvan yhteiseen vähimmäistasoon jäsenvaltioissa ja siten lisätä yleistä varautumistasoa ja reagointikykyä.

· Tavoite 2 – Parantaa verkko- ja tietoturvaan liittyvää yhteistyötä EU:n tasolla rajat ylittävien turvapoikkeamien ja -uhkien torjumiseksi tuloksellisesti.

· Tavoite 3 – Luoda riskinhallintakulttuuri ja parantaa tietojen vaihtoa yksityisen ja julkisen sektorin välillä.

7.           Toimintavaihtoehdot

Tässä vaikutusarvioinnissa tarkastellut vaihtoehdot ovat nykyiseen kehitykseen perustuva lähestymistapa, sääntelyyn perustuva lähestymistapa ja yhdistetty lähestymistapa. Vaihtoehto, jossa kaikista verkko- ja tietoturvaan kohdistuvista EU:n toimista luovuttaisiin, hylättiin.

7.1.        Vaihtoehto 1 – Nykyiseen kehitykseen perustuva lähestymistapa (perusskenaario)

Komissio jatkaisi ENISAn tuella nykyistä vapaaehtoisuuteen perustuvaa toimintamallia, jossa jäsenvaltioita kehotetaan luomaan kansallisia verkko- ja tietoturvavalmiuksia (esim. tietotekniikan kriisiryhmiä (CERT-ryhmiä), kansallisia tietoverkkojen turvapoikkeamiin liittyviä suunnitelmia/valmiussuunnitelmia ja kansallisia kyberturvallisuusstrategioita) ja tekemään yhteistyötä EU:n tasolla (esim. CERT-verkostossa EU:n laajuisesti ja eurooppalaisen tietoverkkojen turvapoikkeamia koskevan valmius-/yhteistyösuunnitelman pohjalta).

7.2.        Vaihtoehto 2 – Sääntelyyn perustuva lähestymistapa

Komissio vaatisi kaikkia jäsenvaltioita luomaan ainakin vähimmäistason kansalliset valmiudet (CERT-ryhmät, toimivaltaiset viranomaiset, kansalliset tietoverkkojen turvapoikkeamiin liittyvät suunnitelmat/valmiussuunnitelmat ja kansalliset kyberturvallisuusstrategiat).

Tässä vaihtoehdossa kansalliset toimivaltaiset viranomaiset ja CERT-ryhmät olisivat osa EU-tason yhteistyöverkostoa, jossa viranomaiset ja CERT-ryhmät vaihtaisivat tietoa ja tekisivät yhteistyötä verkko- ja tietoturvauhkien ja ‑poikkeamien torjumiseksi noudattaen eurooppalaista tietoverkkojen turvapoikkemia koskevaa valmiussuunnitelmaa/yhteistyösuunnitelmaa, josta jäsenvaltioiden olisi sovittava.

Tietyillä kriittisillä sektoreilla, kuten pankkialalla, energia-alalla (sähkö ja maakaasu), liikenteessä, terveydenhuollossa, keskeisten internet-palvelujen mahdollistajien alalla ja julkishallinnossa, toimivat yritykset (muut kuin mikroyritykset) velvoitettaisiin arvioimaan niihin kohdistuvat turvariskit ja ottamaan käyttöön tarkoituksenmukaisia ja oikeasuhteisia toimenpiteitä tosiasiallisten turvariskien määrittämiseksi. Lisäksi nämä yritykset velvoitettaisiin raportoimaan toimivaltaisille viranomaisille turvapoikkeamista, jotka vaarantavat vakavasti niiden verkkojen ja tietojärjestelmien toiminnan ja joilla on sen vuoksi merkittävä vaikutus verkko- ja tietojärjestelmistä riippuvaisten palvelujen ja tavarantoimitusten jatkuvuuteen. Viitejärjestelmänä on sähköisen viestinnän puitedirektiivin 13 a ja b artiklan mukainen järjestelmä.

7.3.        Vaihtoehto 3 – Yhdistetty lähestymistapa

Komissio täydentäisi jäsenvaltioiden vapaaehtoisuuteen perustuvia aloitteita, joiden tarkoituksena on luoda tai lujittaa jäsenvaltioiden verkko- ja tietoturvavalmiuksia ja ottaa käyttöön EU-tason yhteistyömekanismeja, keskeisiin yksityissektorin toimijoihin ja julkishallintoihin kohdistuvilla sääntelyllisillä vaatimuksilla.

Vapaaehtoiset aloitteet olisivat olennaisilta osin samanlaisia kuin vaihtoehdossa 1, ja sääntelylliset vaatimukset vastaisivat täysin vaihtoehdossa 2 asetettavia vaatimuksia sekä niiden kohteena olevien toimijoiden että velvoitteiden sisällön osalta.

ENISA tarjoaisi tukea ja teknistä asiantuntemusta komissiolle, jäsenvaltioille ja yksityiselle sektorille muun muassa laatimalla teknisiä ohjeita ja suosituksia.

8.           Vaikutusten analyysi

Arviointi kattaa turvatason lisäksi edellä kuvattujen kolmen vaihtoehdon taloudelliset ja yhteiskunnalliset vaikutukset. Se kattaa myös kustannukset, jotka aiheutuisivat vaihtoehdoissa 2 ja 3.

Millään näistä vaihtoehdoista ei ole ympäristövaikutuksia, jotka voitaisiin ennustaa tarkasti.

8.1.        Vaihtoehto 1 – Nykyiseen kehitykseen perustuva lähestymistapa (perusskenaario)

Turvataso: On epätodennäköistä, että kaikki jäsenvaltiot loisivat samantasoiset kansalliset valmiudet ja pääsisivät samalle varautumistasolle verkko- ja tietoturvan parantamiseksi, yhteistyön mahdollistamiseksi ja tiedon jakamiseksi luotettavasti EU:n tasolla. Riskinhallinnassa ja turvapoikkeamia koskevan avoimuuden lisäämisessä ei saavutettaisi tasapuolisia toimintaedellytyksiä, minkä vuoksi sääntelyyn jäisi edelleen aukkoja.

Taloudelliset vaikutukset: Vaikutukset riippuisivat siitä, missä määrin jäsenvaltiot noudattaisivat komission suosituksia. Riittämätön turvataso vähemmän kehittyneissä jäsenvaltioissa heikentäisi niiden kilpailukykyä ja kasvua ja asettaisi ne alttiiksi riskeille ja turvapoikkeamille. Nykyisin suuntauksin verkko- ja tietoturvapoikkeamat kävisivät yhä näkyvämmiksi yrityksille ja kuluttajille ja haittaisivat sisämarkkinoiden toteuttamista.

Yhteiskunnalliset vaikutukset: Turvapoikkeamien, ‑riskien ja ‑uhkien odotetaan pysyvän ja pahenevan, mikä vaikuttaisi kielteisesti kansalaisten verkkoluottamukseen.

8.2.        Vaihtoehto 2 – Sääntelyyn perustuva lähestymistapa

Turvataso: Jäsenvaltioille asetettavat velvoitteet varmistaisivat, että kaikilla niillä on riittävät valmiudet, ja loisivat osaltaan keskinäisen luottamuksen ilmapiiriä, joka on ennakkoedellytys tulokselliselle yhteistyölle EU:n tasolla.

Julkishallinnoille ja keskeisille yksityissektorin toimijoille asetettavat vaatimukset verkko- ja tietoturvaan liittyvästä riskinhallinnasta muodostaisivat vahvan kannusteen hallita ja arvioida turvariskit tehokkaasti. Näiden vaatimusten noudattamisesta eri sektoreilla EU:ssa aiheutuvat lisäkustannukset olisivat yhteensä 1–2 miljardin euron luokkaa. Vaatimusten noudattamisesta aiheutuisi pienille ja keskisuurille yrityksille 2500–5000 euron kustannukset.

Taloudelliset vaikutukset: Turvatason paranemisen myötä verkko- ja tietoturvariskeihin ja ‑poikkeamiin liittyvät taloudelliset tappiot pienenisivät. Yritysten ja kuluttajien luottamus digitaaliseen maailmaan vahvistuisi ja hyödyttäisi sisämarkkinoita. Paremman riskinhallintakulttuurin edistäminen piristäisi myös turvallisten tieto- ja viestintätekniikan tuotteiden ja ratkaisujen kysyntää.

Yhteiskunnallinen vaikutus: Parempi turvataso parantaisi kansalaisten verkkoluottamusta, ja he saisivat täyden hyödyn digitaalisesta maailmasta (esim. sosiaalisessa mediassa, tietotekniikkaa hyödyntävässä opiskelussa ja sähköisessä terveydenhuollossa).

8.3.        Vaihtoehto 3 – Yhdistetty lähestymistapa

Turvataso: Vaihtoehdon 1 tavoin tässäkään vaihtoehdossa ei voida taata, että kansallisiin verkko- ja valmiuksiin ja EU-tason yhteistyöhön perustuva turvataso paranisi vapaaehtoisten aloitteiden tuloksena. Toisaalta julkishallinnolle ja keskeisille yksityissektorin toimijoille asetettavat turvavaatimukset muodostaisivat vahvan kannusteen hallita ja arvioida turvariskit. Nämä mekanismit jäisivät kuitenkin tehottomiksi niissä jäsenvaltioissa, jotka eivät noudattaisi komission suosituksia verkko- ja tietoturvavalmiuksien perustamisesta.

Taloudelliset vaikutukset: Kehitysvauhti vaihtelisi merkittävästi jäsenvaltioiden välillä. Riittämätön turvataso vähemmän kehittyneissä jäsenvaltioissa heikentäisi niiden kilpailukykyä ja kasvua ja asettaisi ne alttiiksi riskeistä ja turvapoikkeamista johtuville kielteisille vaikutuksille.

Yhteiskunnalliset vaikutukset: Turvapoikkeamien, ‑riskien ja ‑uhkien odotetaan jatkuvan ja pahenevan, mikä vaikuttaisi kielteisesti kansalaisten verkkoluottamukseen etenkin niissä jäsenvaltioissa, jotka eivät katso verkko- ja tietoturvaa prioriteetiksi.

9.           Vaihtoehtojen vertailu

Vaihtoehtoja 1 ja 3 ei pidetä toimivina politiikan tavoitteiden saavuttamiseksi, ja näin ollen niitä ei suositella, koska niiden tuloksellisuus riippuu siitä, saadaanko vapaaehtoisuuteen perustuvalla lähestymistavalla käytännössä aikaan verkko- ja tietoturvan vähimmäistaso, ja vaihtoehdossa 3 myös jäsenvaltioiden halukkuudesta valmiuksien luomiseen ja rajatylittävään yhteistyöhön.

Vaihtoehto 2 on suositeltavin, koska siinä EU:n kuluttajien, yritysten ja julkishallinnon suoja verkko- ja tietoturvapoikkeamia, -uhkia ja -riskejä vastaan paranisi huomattavasti. Huolehtimalla oman verkko- ja tietoturvansa korkeasta tasosta EU voisi lisäksi laajentaa kansainvälistä vaikutusvaltaansa ja toimia entistä uskottavampana kumppanina kahden- ja monenvälisissä yhteyksissä. EU:lla olisi tällöin myös paremmat edellytykset edistää perusoikeuksia ja EU:n perusarvoja kansainvälisesti.

10.         Seuranta ja arviointi

Vaikutusarviointiraportin luvussa 10 esitetään joukko perusindikaattoreita, joiden avulla seurataan edistymistä tavoitteiden saavuttamisessa. Näitä indikaattoreita ovat esimerkiksi seuraavat:

· Tavoite 1: niiden jäsenvaltioiden määrä, jotka ovat nimenneet verkko- ja tietoturvasta vastaavan toimivaltaisen viranomaisen ja CERT-ryhmän tai jotka ovat vahvistaneet kansallisen kyberturvallisuusstrategian ja kansallisen tietoverkkojen turvapoikkeamia koskevan valmius-/yhteistyösuunnitelman.

· Tavoitteen 2 osalta verkostoon osallistuvien kansallisten toimivaltaisten viranomaisten ja CERT-ryhmien määrä sekä verkko- ja tietoturvariskeistä ja ‑poikkeamista verkostossa vaihdetun tiedon määrä; tavoitteen 3 osalta keskeisten yksityissektorin toimijoiden ja julkishallintojen tekemien verkko- ja tietoturvainvestointien taso sekä vaikutuksiltaan merkittävistä verkko- ja tietoturvapoikkeamista tehtyjen ilmoitusten määrä.

[1]               KOM(2010) 517, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0517:FIN:EN:PDF