Euroopan talous- ja sosiaalikomitean lausunto aiheesta ”Ehdotus Euroopan parlamentin ja neuvoston asetukseksi Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta”

(COM(2018) 630 final — 2018/0328 (COD))

(2019/C 159/10)

Esittelijä: Antonio LONGO

Toinen esittelijä: Alberto MAZZOLA

Lausuntopyyntö	Eurooppa-neuvosto, 5.10.2018 Euroopan parlamentti, 1.10.2018
Oikeusperusta	Euroopan unionin toiminnasta tehdyn sopimuksen 173 artiklan 3 kohta sekä 188 ja 304 artikla
Vastaava erityisjaosto	”liikenne, energia, perusrakenteet, tietoyhteiskunta”
Hyväksyminen erityisjaostossa	9.1.2019
Hyväksyminen täysistunnossa	23.1.2019
Täysistunnon nro	540
Äänestystulos (puolesta / vastaan / pidättyi äänestämästä)	143/5/2

1.   Päätelmät ja suositukset

1.1

Euroopan talous- ja sosiaalikomitea (ETSK) suhtautuu myönteisesti Euroopan komission aloitteeseen ja pitää sitä tarkoituksenmukaisena kyberturvallisuutta koskevan teollisen strategian kehittämiseksi sekä strategisena vahvan ja laajan digitaalisen riippumattomuuden saavuttamiseksi. Nämä tekijät ovat välttämättömiä Euroopan puolustusmekanismien vahvistamisen kannalta, jotta voidaan vastata meneillään olevaan kybersodankäyntiin, joka uhkaa heikentää poliittisia, taloudellisia ja yhteiskunnallisia järjestelmiä.

1.2

Komitea toteaa, että kyberturvallisuusstrategia edellyttää yleistä valveutuneisuutta sekä sitä, että kaikki käyttäjät noudattavat turvallisia toimintatapoja.

1.3

ETSK kannattaa ehdotuksen yleistavoitteita ja on tietoinen siitä, että tiettyjä toiminnan näkökohtia tarkastellaan myöhemmin. Se katsoo kuitenkin, että koska kyseessä on asetus, eräät hallintoon, rahoitukseen ja ennalta asetettujen tavoitteiden saavuttamiseen liittyvät arkaluonteiset näkökohdat olisi määriteltävä etukäteen. On tärkeää, että perustettava verkosto ja keskus tukeutuvat mahdollisimman pitkälle jäsenvaltioiden kyberturvallisuusvalmiuksiin ja asiantuntemukseen ja ettei kaikkea osaamista keskitetä kyseiseen keskukseen. Tulevan keskuksen ja verkoston toimien ei myöskään tulisi olla päällekkäisiä olemassa olevien yhteistyömekanismien ja organisaatioiden kanssa.

1.4

ETSK kannattaa yhteistyön laajentamista teollisuuteen tieteen ja investointien alalla tehtävien selkeiden sitoumusten pohjalta niin, että teollisuus otetaan tulevaisuudessa mukaan johtokuntaan. Siinä tapauksessa, että tehdään kolmenvälistä yhteistyötä Euroopan komission, jäsenvaltioiden ja teollisuuden välillä, EU:n ulkopuolisista maista peräisin olevien yritysten osallistuminen olisi rajattava yrityksiin, jotka ovat jo pitkään toimineet Euroopan maaperällä ja jotka ovat täysipainoinen osa Euroopan teollista ja teknologista perustaa edellyttäen, että niihin sovelletaan asianmukaisia seuranta- ja valvontamekanismeja ja että ne noudattavat vastavuoroisuuden periaatetta ja salassapitovelvollisuutta.

1.5

Kaikkien jäsenvaltioiden on yhteisesti sitouduttava kyberturvallisuuteen, ja niiden on näin ollen osallistuttava osaamiskeskuksen johtokuntaan myöhemmin määriteltävällä tavalla. Jäsenvaltioiden rahoitusosuudessa voitaisiin hyödyntää unionin kunkin jäsenvaltion käyttöön osoittamia määrärahoja.

1.6

Ehdotuksessa olisi täsmennettävä nykyistä paremmin, millä tavoin osaamiskeskus voi puuttua Digitaalinen Eurooppa- ja Euroopan horisontti -ohjelmien rahoituksen koordinointiin, ja erityisesti, minkä suuntaviivojen mukaan mahdolliset hankinnat tehdään ja osoitetaan. Tämä seikka on keskeisen tärkeä, jotta vältetään kaksinkertainen työ tai päällekkäisyydet. Määrärahojen lisäämiseksi suositetaan lisäksi, että laajennetaan synergiavaikutuksia EU:n muiden rahoitusvälineiden kanssa (esim. alueelliset rahastot, rakennerahastot, Verkkojen Eurooppa -väline, Euroopan puolustusrahasto ja InvestEU-ohjelma).

1.7

ETSK:n mielestä on olennaisen tärkeää määritellä Euroopan kyberturvallisuuden osaamiskeskuksen ja kansallisten keskusten väliset yhteistyömuodot ja suhteet. On myös tärkeää, että EU rahoittaa kansallisia keskuksia ainakin hallintomenojen osalta, sillä näin helpotetaan hallinnon ja osaamisen yhdenmukaistamista EU:n jäsenvaltioiden välillä vallitsevien erojen kaventamiseksi.

1.8

Komitea korostaa henkisen pääoman merkitystä ja toivoo, että osaamiskeskus kykenee edistämään huipputason yleissivistävää ja ammatillista koulutusta yhteistyössä yliopistojen, tutkimuskeskusten ja korkeakoulukeskusten kanssa muun muassa yliopistojen ja toisen asteen oppilaitosten erityisten koulutusväylien avulla. Niin ikään on olennaisen tärkeää huolehtia startup- ja pk-yrityksille annettavasta erityistuesta.

1.9

ETSK:n mielestä on ensisijaisen tärkeää selkiyttää osaamiskeskuksen ja Euroopan unionin verkko- ja tietoturvaviraston (ENISA) vastuu- ja tehtäväalueita, määritellä selkeästi yhteistyön ja keskinäisen tuen muodot ja estää toimivaltuuksien ja toiminnan päällekkäisyys. Vastaavanlaisia ongelmia ilmenee suhteessa muihin kyberturvallisuuden alalla toimiviin elimiin, joita ovat esimerkiksi Euroopan puolustusvirasto, Europol ja tietotekniikan kriisiryhmä (CERT-EU), ja komitea suosittaa, että näiden eri elinten välille perustetaan niin ikään jäsennellyn vuoropuhelun mekanismeja.

2.   Kyberturvallisuuden nykyiset puitteet

2.1

Kyberturvallisuus on yksi keskisimmistä kysymyksistä EU:n asialistalla, sillä kyseessä on olennainen tekijä instituutioiden, yritysten ja kansalaisten suojelun kannalta sekä välttämätön väline demokratian säilyttämisen kannalta. Yksi huolestuttavimmista ilmiöistä on verkossa automatisoitujen järjestelmien kautta levitettävien haittaohjelmien eksponentiaalinen lisääntyminen niin, että niiden lukumäärä on noussut 130 000:sta vuonna 2007 kahdeksaan miljoonaan vuonna 2017. Lisäksi EU on kyberturvallisuustuotteiden ja -ratkaisujen nettotuoja, mikä on ongelmallista taloudellisen kilpailukyvyn sekä siviili- ja sotilaallisen turvallisuuden kannalta.

2.2

Vaikka EU:lla on kyberturvallisuuden alalla merkittävää osaamista ja kokemusta, alan teollisuus, korkeakoulut ja tutkimuskeskukset vaikuttavat edelleen hajanaisilta ja epäyhtenäisiltä sen lisäksi, että niiltä puuttuu yhteinen kehitysstrategia. Tämä johtuu siitä, ettei asianomaisia kyberturvallisuuden aloja (esim. energia, avaruus, puolustus ja liikenne) tueta riittävästi, sekä siitä, ettei kyberturvallisuuden siviili- ja puolustusalojen välisiä synergioita hyödynnetä.

2.3

Vastatakseen näihin kasvaviin haasteisiin unioni vahvisti vuonna 2013 kyberturvallisuusstrategian edistääkseen luotettavaa, turvallista ja avointa kybertoimintaympäristöä (1). Myöhemmin, vuonna 2016, hyväksyttiin verkko- ja tietojärjestelmien turvallisuutta koskevat ensimmäiset erityiset toimenpiteet (2). Tämä prosessi on johtanut julkisen ja yksityisen sektorin kyberturvallisuuskumppanuuden perustamiseen.

2.4

Vuonna 2017 annetussa tiedonannossa aiheesta ”Resilienssi, pelote ja puolustus: vahvan kyberturvallisuuden rakentaminen EU:lle” (3) korostetaan tarvetta varmistaa kyberturvallisuuteen liittyvien keskeisten teknologisten valmiuksien säilyttäminen ja niiden kehittäminen digitaalisten sisämarkkinoiden turvaamiseksi ja erityisesti kriittisten verkkojen ja tietojärjestelmien suojaamiseksi ja keskeisten kyberturvallisuuspalvelujen tarjoamiseksi.

2.5

Unionin on näin ollen kyettävä turvaamaan omat digitaaliset voimavaransa ja prosessinsa ja kilpailemaan maailmanlaajuisilla kyberturvallisuusmarkkinoilla vahvan ja laajan digitaalisen riippumattomuuden saavuttamiseksi (4).

3.   Komission ehdotukset

3.1

Osaamiskeskuksen tavoitteena on helpottaa ja koordinoida kansallisten keskusten verkoston toimintaa sekä tukea kyberturvallisuuden osaamisyhteisöä ja edistää näin kyberturvallisuusalan teknologiastrategiaa ja helpottaa verkostoon kootun osaamisen hyödyntämistä.

3.2

Osaamiskeskus tekee näin etenkin panemalla täytäntöön Digitaalinen Eurooppa- ja Euroopan horisontti -ohjelmien asiaankuuluvat osat myöntämällä avustuksia ja tekemällä hankintoja. Kun otetaan huomioon muualla maailmassa tehdyt huomattavat investoinnit kyberturvallisuuteen sekä tarve koordinoida ja koota yhteen asiaankuuluvia resursseja Euroopassa, ehdotetaan, että osaamiskeskuksesta muodostetaan eurooppalainen kumppanuus, jolla on kahtalainen oikeusperusta, mikä helpottaa näin unionin, jäsenvaltioiden ja teollisuuden yhteisiä investointeja.

3.3

Ehdotuksessa edellytetään, että jäsenvaltiot osallistuvat osaamiskeskuksen ja verkoston toiminnan rahoitukseen unionin rahoitusosuutta vastaavalla määrällä. EU:n ehdottama määrärahojen jakauma on noin kaksi miljardia euroa Digitaalinen Eurooppa -ohjelmasta, Euroopan horisontti -ohjelmasta katettava summa, jota ei ole vielä määritetty, sekä jäsenvaltioiden kokonaisrahoitusosuus, joka on vähintään yhtä suuri kuin unionin osuus.

3.4

Osaamiskeskuksen tärkein päätöksentekoelin on johtokunta, johon kaikki jäsenvaltiot voivat osallistua, mutta jossa äänioikeus on ainoastaan rahoitusosuuden suorittaneilla jäsenvaltioilla. Äänestysmenettelyssä noudatetaan kaksinkertaisen enemmistön periaatetta, jossa enemmistöön vaaditaan 75 prosenttia rahoitusosuuksista ja 75 prosenttia annetuista äänistä. Komissiolla on 50 prosenttia äänistä. Johtokuntaa avustaa neuvoa-antava teollisuus- ja tiedekomitea, jonka avulla voidaan varmistaa yhteydenpito yritysten, kuluttajien ja muiden asianosaisten sidosryhmien kanssa.

3.5

Osaamiskeskus, joka toimisi läheisessä yhteistyössä kansallisten koordinointikeskusten verkoston ja kyberturvallisuuden osaamisyhteisön kanssa, olisi tärkein täytäntöönpanoelin EU:n rahoitusvaroille, jotka on osoitettu kyberturvallisuuteen ehdotetuissa Digitaalinen Eurooppa- ja Euroopan horisontti -ohjelmissa.

3.6

Jäsenvaltioiden on valittava kansalliset koordinointikeskukset. Osaamiskeskuksilla on joko oltava tai niiden on voitava saada suoraan käyttöönsä kyberturvallisuusalan teknistä asiantuntemusta etenkin sellaisilla aloilla kuin salaus, tieto- ja viestintätekniikan turvallisuuspalvelut, tunkeutumisen havaitseminen, järjestelmän turvallisuus, verkkoturvallisuus, ohjelmien ja sovellusten turvallisuus sekä turvallisuuden ja yksityisyyden inhimilliset ja yhteiskunnalliset näkökohdat. Niillä pitäisi myös olla valmiudet ylläpitää toimivia yhteyksiä teollisuuteen ja julkiseen sektoriin, mukaan lukien direktiivin (EU) 2016/1148 mukaisesti nimetyt viranomaiset, ja koordinoida toimintaansa niiden kanssa.

4.   Yleistä

4.1

ETSK suhtautuu myönteisesti komission aloitteeseen ja pitää sitä kyberturvallisuuden kehittämisen kannalta strategisen tärkeänä Tallinnassa syyskuussa 2017 pidetyssä huippukokouksessa tehtyjen päätösten täytäntöönpanemiseksi. Kyseisessä yhteydessä valtion- ja hallitusten päämiehet totesivat, että unionista olisi tehtävä ”kyberturvallisuusalan maailmanlaajuinen johtaja vuoteen 2025 mennessä, jotta voisimme varmistaa kansalaistemme, kuluttajiemme ja yritystemme luottamuksen ja suojan verkossa ja mahdollistaisimme vapaan ja lailla säännellyn internetin”.

4.2

ETSK toteaa jälleen, että olemme keskellä täysimittaista kybersodankäyntiä, joka uhkaa heikentää poliittisia, taloudellisia ja yhteiskunnallisia järjestelmiä ja jossa kohdistetaan hyökkäyksiä instituutioiden tietojärjestelmiin, kriittisiin infrastruktuureihin (esimerkiksi energia- ja liikenneala sekä pankki- ja rahoituslaitokset) ja yrityksiin ja vaikutetaan myös valeuutisin yleisesti vaali- ja demokraattisiin prosesseihin (5). Tilanne edellyttää vahvaa tietoisuutta asiasta sekä päättäväistä ja oikea-aikaista reagointia. Näistä syistä on määritettävä kyberturvallisuuden alan selkeä ja laajaa kannatusta nauttiva teollinen strategia, joka on välttämätön edellytys digitaalisen riippumattomuuden saavuttamiselle. ETSK katsoo, että työohjelmassa olisi annettava etusija aloille, jotka mainitaan verkko- ja tietojärjestelmien turvallisuudesta annetussa direktiivissä (EU) 2016/11486, jota sovelletaan keskeisiä palveluja tarjoaviin julkisiin tai yksityisiin yrityksiin niiden yhteiskunnallisen merkityksen johdosta (6).

4.3

Komitea toteaa, että kyberturvallisuusstrategia edellyttää yleistä valveutuneisuutta sekä sitä, että kaikki käyttäjät noudattavat turvallisia toimintatapoja. Tästä syystä kaikkia teknologia-aloitteita on tuettava asianmukaisin tiedotus- ja valveuttamiskampanjoin ”digitaalisen turvallisuuskulttuurin”luomiseksi (7).

4.4

ETSK kannattaa ehdotuksen yleistavoitteita ja on tietoinen siitä, että tiettyjä toiminnan näkökohtia tarkastellaan myöhemmin. Se katsoo kuitenkin, että koska kyseessä on asetus, eräät hallintoon, rahoitukseen ja ennalta asetettujen tavoitteiden saavuttamiseen liittyvät arkaluonteiset näkökohdat olisi määriteltävä etukäteen. On tärkeää, että perustettava verkosto ja keskus tukeutuvat mahdollisimman pitkälle jäsenvaltioiden kyberturvallisuusvalmiuksiin ja asiantuntemukseen ja ettei kaikkea osaamista keskitetä kyseiseen keskukseen. Tulevan keskuksen ja verkoston toimien ei myöskään tulisi olla päällekkäisiä olemassa olevien yhteistyömekanismien ja organisaatioiden kanssa.

4.5

ETSK muistuttaa, että asiakokonaisuuteen TEN/646 kuuluvassa lausunnossaan kyberturvallisuusasetuksesta (8) se ehdottaa kolmenvälistä yhteistyötä julkisen ja yksityisen sektorin kumppanuuden muodossa Euroopan komission, jäsenvaltioiden ja teollisuuden – pk-yritykset mukaan luettuina – välillä, kun vastaavasti nykyinen rakenne, jonka oikeudellista muotoa on täydennettävä, mahdollistaa lähinnä julkisen sektorin sisäisen kumppanuuden Euroopan komission ja jäsenvaltioiden välillä.

4.6

ETSK kannattaa yhteistyön laajentamista teollisuuteen tieteen ja investointien alalla tehtävien selkeiden sitoumusten pohjalta niin, että teollisuus otetaan tulevaisuudessa mukaan johtokuntaan. On mahdollista, että neuvoa-antavan teollisuus- ja tiedekomitean perustaminen ei varmista jatkuvaa vuoropuhelua yritysten, kuluttajien ja muiden asianosaisten sidosryhmien kanssa. Komission hahmottelemista uusista puitteista ei myöskään käy selkeästi ilmi, mikä on Euroopan kyberturvallisuusjärjestön (ECSO) rooli. Kyseinen elin perustettiin kesäkuussa 2016 komission aloitteesta komission vastapuoleksi, ja sen verkostopääomaa ja asiantuntemusta ei pitäisi hukata.

4.6.1

Kolmenvälisen yhteistyön tapauksessa on tärkeää kiinnittää huomiota kolmansista maista peräisin oleviin yrityksiin. ETSK painottaa erityisesti, että tämän yhteistyön olisi perustuttava vankkaan mekanismiin, jotta voidaan estää sellaisten EU:n ulkopuolisista maista peräisin olevien yritysten osallistuminen, jotka voivat heikentää EU:n turvallisuutta ja riippumattomuutta. Euroopan puolustusteollisessa kehittämisohjelmassa (9) vahvistettuja asiaan liittyviä lausekkeita tulisi soveltaa myös tässä yhteydessä.

4.6.2

Samalla ETSK toteaa, että tietyt EU:n ulkopuolisista maista peräisin olevat yritykset, jotka ovat jo pitkään toimineet Euroopan maaperällä ja jotka ovat täysipainoinen osa Euroopan teknologista ja teollista perustaa, voisivat olla EU:n hankkeiden kannalta erittäin hyödyllisiä ja että niillä tulisi olla mahdollisuus osallistua näihin hankkeisiin edellyttäen, että jäsenvaltiot ottavat käyttöön asianmukaisia seuranta- ja valvontamekanismeja näitä yrityksiä varten ja että noudatetaan vastavuoroisuuden periaatetta ja salassapitovelvollisuutta.

4.7

Kaikkien jäsenvaltioiden on yhteisesti sitouduttava kyberturvallisuuteen, ja niiden on näin ollen osallistuttava osaamiskeskuksen johtokuntaan myöhemmin määriteltävällä tavalla. On myös tärkeää, että kaikki jäsenvaltiot antavat riittävän taloudellisen panoksen komission aloitteeseen. Jäsenvaltioiden rahoitusosuudessa voitaisiin hyödyntää unionin kunkin jäsenvaltion käyttöön osoittamia määrärahoja.

4.8

ETSK on samaa mieltä siitä, että kukin jäsenvaltio voi vapaasti nimetä oman edustajansa Euroopan kyberturvallisuuden osaamiskeskuksen johtokuntaan. ETSK suosittaa, että kansallisten edustajien osaamisprofiili määritellään selkeästi ja että siihen sisällytetään teknologinen ja strateginen osaaminen johtamis-, hallinto- ja varainhoitotaitojen ohella.

4.9

Ehdotuksessa olisi täsmennettävä nykyistä paremmin, millä tavoin osaamiskeskus voi puuttua Digitaalinen Eurooppa- ja Euroopan horisontti -ohjelmien – joista edelleen neuvotellaan – rahoituksen koordinointiin, ja erityisesti, minkä suuntaviivojen mukaan mahdolliset hankinnat tehdään ja osoitetaan. Tämä seikka on keskeisen tärkeä, jotta vältetään kaksinkertainen työ tai päällekkäisyydet. Määrärahojen lisäämiseksi suositetaan lisäksi, että laajennetaan synergiavaikutuksia EU:n muiden rahoitusvälineiden kanssa (esim. alueelliset rahastot, rakennerahastot, Verkkojen Eurooppa -väline, Euroopan puolustusrahasto ja InvestEU-ohjelma). Komitea toivoo, että kansallisten keskusten verkosto otetaan mukaan varojen hallinnointiin ja koordinointiin.

4.10

ETSK panee merkille, että neuvoa-antavan komitean tulisi koostua 16 jäsenestä ja ettei ehdotuksessa täsmennetä mekanismeja, joiden avulla luodaan yhteydet yritysmaailmaan, korkeakouluihin, tutkimusalaan ja kuluttajiin. Komitean mielestä olisi hyödyllistä ja asianmukaista, että kyseisen komitean jäsenet erottuvat alaa koskevalla korkeatasoisella tietämyksellään ja että he edustavat tasapainoisella tavalla asianomaisia aloja.

4.11

ETSK:n mielestä on tärkeää määritellä Euroopan kyberturvallisuuden osaamiskeskuksen ja kansallisten keskusten väliset yhteistyömuodot ja suhteet. On myös tärkeää, että EU rahoittaa kansallisia keskuksia ainakin hallintomenojen osalta, sillä näin helpotetaan hallinnon ja osaamisen yhdenmukaistamista EU:n jäsenvaltioiden välillä vallitsevien erojen kaventamiseksi.

4.12

Aiempien lausuntojensa (10) mukaisesti ETSK korostaa olevan tärkeää, että kyberturvallisuusalan henkilöstö saa huipputason yleissivistävää ja ammatillista koulutusta muun muassa niin, että järjestetään erityisiä koulu-, korkeakoulu- ja jatkokoulutuskursseja. On myös tärkeää tarjota riittävää taloudellista tukea alan pk- ja startup-yrityksille (11), joilla on olennainen merkitys huippututkimuksen kehittämisessä.

4.13

ETSK:n mielestä on ensisijaisen tärkeää selkiyttää osaamiskeskuksen ja ENISAn vastuu- ja tehtäväalueita, määritellä selkeästi yhteistyön ja keskinäisen tuen muodot ja estää toimivaltuuksien ja toiminnan päällekkäisyys (12). Ehdotetussa asetuksessa säädetään, että ENISAn valtuutettu osallistuu johtokuntaan pysyvänä tarkkailijana, mutta tämä osallistuminen ei takaa jäsenneltyä vuoropuhelua kyseisten kahden elimen välillä. Vastaavanlaisia ongelmia ilmenee suhteessa muihin kyberturvallisuuden alalla toimiviin elimiin, joita ovat esimerkiksi Euroopan puolustusvirasto (EDA), Europol ja tietotekniikan kriisiryhmä (CERT-EU). Tältä osin on mielenkiintoista panna merkille, että toukokuussa 2018 allekirjoitettiin yhteisymmärryspöytäkirja ENISAn, Euroopan puolustusviraston, Europolin ja tietotekniikan kriisiryhmän välillä.

---

(1)  JOIN(2013) 1 final.

(2)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148, annettu 6 päivänä heinäkuuta 2016, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (EUVL L 194, 19.7.2016, s. 1).

(3)  JOIN(2017) 450 final.

(4)  EUVL C 227, 28.6.2018, s. 86.

(5)  Tiedonanto aiheesta ”Miten tiedotusvälineitä käytetään yhteiskunnallisiin ja poliittisiin prosesseihin vaikuttamiseen EU:ssa ja sen itäisissä naapurimaissa?”, Indrė Vareikytė, 2014.

(6)  EUVL C 227, 28.6.2018, s. 86.

(7)  EUVL C 227, 28.6.2018, s. 86.

(8)  EUVL C 227, 28.6.2018, s. 86.

(9)  COM(2017) 294 final.

(10)  EUVL C 451, 16.12.2014, s. 25.

(11)  EUVL C 227, 28.6.2018, s. 86.

(12)  EUVL C 227, 28.6.2018, s. 86.