6.4.2011

Euroopan unionin virallinen lehti

C 107/58

Euroopan talous- ja sosiaalikomitean lausunto aiheesta ”Ehdotus Euroopan parlamentin ja neuvoston asetukseksi Euroopan verkko- ja tietoturvavirastosta (ENISA)”

KOM(2010) 521 lopullinen

2011/C 107/12

Esittelijä: Peter MORGAN

Neuvosto päätti 19. lokakuuta 2010 Euroopan unionin toiminnasta tehdyn sopimuksen 114 artiklan nojalla pyytää Euroopan talous- ja sosiaalikomitean lausunnon aiheesta

Ehdotus Euroopan parlamentin ja neuvoston asetukseksi Euroopan verkko- ja tietoturvavirastosta (ENISA)

KOM(2010) 521 lopullinen.

Asian valmistelusta vastannut ”liikenne, energia, perusrakenteet, tietoyhteiskunta” -erityisjaosto antoi lausuntonsa 2. helmikuuta 2011.

Euroopan talous- ja sosiaalikomitea hyväksyi 16.–17. helmikuuta 2011 pitämässään 469. täysistunnossa (helmikuun 17. päivän kokouksessa) seuraavan lausunnon. Äänestyksessä annettiin ääniä 173 puolesta 5:n pidättyessä äänestämästä.

1. Päätelmät ja suositukset

1.1

ETSK on hyvin tietoinen, että kansalaisyhteiskunta on nykyisin erittäin riippuvainen internetissä tarjottavista palveluista. Komitea on lisäksi huolissaan siitä, että kansalaisyhteiskunta on edelleen verrattain tietämätön oman tietoverkkoturvallisuutensa merkityksestä. ETSK katsoo, että Euroopan verkko- ja tietoturvaviraston (ENISA) tehtävänä on avustaa jäsenvaltioita ja palveluntarjoajia parantamaan yleisiä tietoturvanormejaan niin, että internetin käyttäjät voivat ryhtyä tarvittaviin toimiin voidakseen huolehtia omasta tietoverkkoturvallisuudestaan.

1.2

Näin ollen ETSK tukee ehdotusta Euroopan verkko- ja tietoturvaviraston kehittämisestä siten, että unionissa voidaan varmistaa korkeatasoinen ja toimiva verkko- ja tietoturva, lisätä asiaa koskevaa tietoisuutta ja luoda yhteiskuntaan erityinen verkko- ja tietoturvakulttuuri, josta on hyötyä kansalaisille, kuluttajille, yrityksille ja julkisen sektorin organisaatioille unionissa. Siten edistetään myös sisämarkkinoiden moitteetonta toimintaa.

1.3

Verkko- ja tietoturvaviraston tehtävä on ratkaisevan tärkeä EU:n hallinnon, teollisuuden, kaupan ja kansalaisyhteiskunnan verkkoinfrastruktuurin turvalliselle kehitykselle. ETSK odottaa, että Euroopan komissio asettaa viraston toiminnalle mahdollisimman korkeat vaatimukset ja valvoo sitä tietoverkkoturvallisuutta uhkaavien vaarojen torjumiseksi.

1.4

Naton, Europolin ja Euroopan komission hahmottelemat tietoturvastrategiat ovat riippuvaisia tehokkaasta yhteistyöstä jäsenvaltioiden kanssa. Jäsenvaltioilla on runsaasti sisäisiä virastoja, jotka käsittelevät tietoturvakysymyksiä. Naton ja Europolin strategioiden on tarkoitus olla ennaltaehkäiseviä ja toiminnallisia. EU:n komission strategiassa Euroopan verkko- ja tietoturvavirasto on selvästi tärkeä osatekijä elintärkeiden tietoinfrastruktuurien suojaamiseen tarkoitettujen virastojen ja toimijoiden monimutkaisessa palapelissä. Vaikka uudessa asetuksessa ei esitetä verkko- ja tietoturvavirastolle toiminnallista roolia, ETSK katsoo viraston olevan ensisijaisesti vastuussa EU:n kansalaisyhteiskunnan elintärkeistä tietoinfrastruktuureista.

1.5

Toiminnallinen vastuu jäsenvaltiotason tietoverkkoturvallisuudesta kuuluu valtioille itselleen, mutta kriittisiä tietoinfrastruktuureja koskevat normit 27 jäsenvaltiossa ovat hyvin erilaisia. Verkko- ja tietoturvaviraston tehtävänä on saattaa tietoturvallisuudessa heikommin kehittyneet jäsenvaltiot hyväksyttävälle tasolle. Viraston on varmistettava jäsenvaltioiden yhteistyö ja avustettava niitä parhaiden käytäntöjen soveltamisessa. Viraston on myös varoitettava rajatylittävistä uhkista ja pyrittävä ehkäisemään niitä.

1.6

Verkko- ja tietoturvaviraston on myös osallistuttava kansainväliseen yhteistyöhön EU:n ulkopuolisten toimijoiden kanssa. Tällainen yhteistyö on erittäin poliittista ja siihen osallistuu monia EU:n tahoja, mutta ETSK katsoo, että verkko- ja tietoturvaviraston on löydettävä paikkansa kansainvälisellä näyttämöllä.

1.7	Komitea katsoo, että verkko- ja tietoturvavirastolla voi olla merkittävä rooli turvallisuusalan tutkimusprojektien käynnistämisessä ja niihin osallistumisessa.

1.8

Vaikutusten arvioinnin osalta ETSK ei tällä hetkellä kannata vaihtoehtojen 4 ja 5 täysimääräistä toteuttamista, mikä merkitsisi verkko- ja tietoturvaviraston muuttamista toiminnalliseksi virastoksi. Tietoverkkoturvallisuus on niin laaja ongelma, johon liittyy nopeasti kehittyviä uhkia, että jäsenvaltioiden on säilytettävä kyky torjua uhkia ennakoivasti. EU-tason toiminnallisten virastojen kehittäminen johtaa yleensä jäsenvaltioiden valmiuksien heikentämiseen. Tietoverkkoturvallisuudessa tilanne on päinvastainen: jäsenvaltioiden valmiuksia on lisättävä.

1.9

ETSK ymmärtää komission näkemyksen, jonka mukaan verkko- ja tietoturvavirastolla tulisi olla hyvin määritellyt ja valvotut tehtävät ja niiden mukaiset resurssit. ETSK on kuitenkin huolestunut siitä, että viraston viisivuotinen toimikausi voi rajoittaa pitkän aikavälin hankkeita ja vaarantaa inhimillisen pääoman ja osaamisen kehittämisen virastossa. Kyseessä on kohtalaisen pieni virasto, joka käsittelee suurta ja yhä kasvavaa ongelmaa. Verkko- ja tietoturvaviraston tehtävän laajuus ja kattavuus merkitsee sitä, että sen on voitava hyödyntää erikoisasiantuntijoiden ryhmiä. Virasto tulee työskentelemään sekä lyhyen että pitkän aikavälin hankkeiden parissa. Näin ollen komitea toivoisi, että ENISAn toimeksianto olisi tarpeen mukaan muuttuva, jatkuisi toistaiseksi ja vahvistettaisiin säännöllisesti toistuvien arviointien perusteella. Resursseja voitaisiin myöntää vähitellen silloin, kun sen katsotaan olevan perusteltua.

2. Johdanto

2.1	Tämä lausunto käsittelee asetusta, jonka tarkoituksena on kehittää edelleen verkko- ja tietoturvavirastoa (ENISA).

2.2	Komissio esitti ensimmäisen ehdotuksensa verkko- ja tietoturvaa koskevaksi poliittiseksi lähestymistavaksi vuonna 2001 antamassaan tiedonannossa (KOM(2001) 298 lopullinen). Daniel Retureau toimi tiedonannosta annetun kattavan lausunnon (1) esittelijänä.

2.3	Sen jälkeen komissio esitti asetuksen ENISA:n perustamiseksi (KOM(2003) 63 lopullinen). Asetusaihetta käsittelevän ETSK:n lausunnon (2) esittelijänä toimi Göran Lagerholm. Virasto perustettiin asetuksella (EY) N:o 460/2004.

2.4	Internetin käytön kasvaessa räjähdysmäisesti myös huoli tietoturvallisuudesta kasvoi. Vuonna 2006 komissio julkaisi tiedonannon, jossa hahmoteltiin turvallista tietoyhteiskuntaa koskeva strategia (KOM(2006) 251 lopullinen). Vastaavan ETSK:n lausunnon (3) esittelijä oli Antonello Pezzini.

2.5	Tietoturvallisuuden aiheuttaessa yhä enemmän huolta komissio esitti vuonna 2009 ehdotuksen elintärkeiden tietoinfrastruktuurien suojaamiseksi (KOM(2009) 149 lopullinen). ETSK:n täysistunto hyväksyi joulukuussa 2009 komitean lausunnon (4), jonka esittelijänä toimi Thomas McDonogh.

2.6

Uudessa ehdotuksessa esitetään Euroopan verkko- ja tietoturvaviraston vahvistamista ja kehittämistä, jotta voitaisiin varmistaa korkeatasoinen ja toimiva verkko- ja tietoturva unionissa, lisätä asiaa koskevaa tietoisuutta ja luoda yhteiskuntaan erityinen verkko- ja tietoturvakulttuuri, josta on hyötyä kansalaisille, kuluttajille, yrityksille ja julkisen sektorin organisaatioille unionissa. Siten edistetään myös sisämarkkinoiden moitteetonta toimintaa.

2.7

ENISA ei kuitenkaan ole ainoa suunniteltu EU:n verkkoavaruuden turvallisuuden parissa toimiva virasto. Vastaaminen verkkosodankäyntiä ja tietoverkkoterrorismia liittyviin haasteisiin on sotilasviranomaisten tehtävä. Nato on tällä alalla tärkein toimija. Uuden Lissabonissa marraskuussa 2010 julkaistun strategiakäsitteensä mukaan (ks. http://www.nato.int/lisbon2010/strategic-concept-2010-eng.pdf) ”Nato kehittää edelleen kykyään estää ja selvittää tietoverkkohyökkäyksiä, puolustautua niitä vastaan sekä elpyä niistä muun muassa hyödyntämällä Naton suunnitelmia vahvistaa ja koordinoida valtiotason valmiuksia tietoverkkojen puolustamiseksi, asettamalla kaikki Naton elimet keskitetyn tietoverkkosuojelun piiriin, parantamalla Naton tietoisuutta verkkoturvallisuudesta sekä integroimalla Naton valvonta-, varoitus- ja vastausjärjestelmät paremmin jäsenvaltioiden järjestelmiin.”

2.8

Viroa vastaan vuonna 2007 tehdyn tietoverkkohyökkäyksen seurauksena perustettiin 14. toukokuuta 2008Cooperative Cyber Defence Centre of Excellence -yksikkö tietoverkkojen puolustamisvalmiuksien vahvistamiseksi Natossa. Kansainvälinen keskus sijaitsee Tallinnassa ja sen toimintaa rahoittavat nykyisin Viro, Latvia, Liettua, Saksa, Unkari, Italia, Slovakia ja Espanja.

2.9

Verkossa tapahtuvat rikokset ovat EU-tasolla Europolin vastuulla. Seuraavassa on ote Europolin Yhdistyneen kuningaskunnan parlamentin ylähuoneelle antamista kirjallisista todisteista (ks. http://www.publications.parliament.uk/pa/ld200910/ldselect/ldeucom/68/68we05.htm):

On selvää, että lainvalvontaviranomaisten on pysyttävä rikollisten teknisen kehityksen tahdissa varmistaakseen, että näiden suunnittelemat rikokset voitaisiin estää tai selvittää tehokkaasti. Huipputeknologian rajattoman luonteen vuoksi valmiuksien on myös oltava yhtä korkealla tasolla kaikkialla EU:ssa, jottei mahdollistettaisi sellaisten heikkojen kohtien kehittymistä, joissa huipputeknologiaa käyttävä rikollisuus voisi kukoistaa ilman pelkoa rangaistuksista. Valmiudet ovat kuitenkin EU:ssa hyvin epäyhtenäisiä. Kehitys on selkeästi epäsymmetristä: jotkut jäsenvaltiot ovat edistyneet merkittävästi tietyillä osa-alueilla, kun taas toiset jäsenvaltiot ovat jääneet jälkeen teknologiakehityksessä. Sen vuoksi tulisi luoda keskitetty palvelu, joka auttaa kaikkia jäsenvaltioita koordinoimaan yhteisiä toimia, edistää lähestymistapojen ja laatunormien standardointia sekä yksilöidä ja yleistää parhaita käytäntöjä. Vain siten voidaan varmistaa EU-lakien yhtenäinen valvonta huipputeknologiaa hyödyntävän rikollisuuden torjumiseksi.

2.10

Tietotekniikkarikoksia käsittelevä yksikkö (High Tech Crime Centre) perustettiin Europoliin vuonna 2002. Kyseessä on suhteellisen pieni yksikkö, mutta sen odotetaan kasvavan tulevaisuudessa Europolin työskentelyn keskeiseksi tekijäksi tällä alalla. Yksiköllä on tärkeä rooli koordinoinnin, toiminnallisen tuen, strategisen analyysin ja koulutuksen kannalta. Koulutustoiminta on erityisen merkittävää. Lisäksi Europol on perustanut Euroopan tietoverkkorikollisuuden foorumin (European Cyber Crime Platform). Sen toiminta keskittyy seuraaviin aiheisiin:

—	ICROS-foorumi (Internet Crime Reporting Online System) internet-rikollisuudesta ilmoittamista varten

—	Analyysityöryhmä (Analysis Work File - Cyborg)

—	Internet- ja rikosteknisen asiantuntemuksen foorumi (IFOREX).

2.11

EU:n tietoverkkoturvallisuusstrategiaa hahmotellaan eurooppalaisen digitaalistrategian luvussa ”Luottamus ja turvallisuus”. Haasteita kuvataan seuraavasti:

”Tähän saakka internet on osoittautunut hämmästyttävän turvalliseksi, kestäväksi ja vakaaksi, mutta tietoverkot ja loppukäyttäjien päätelaitteet ovat edelleen haavoittuvia monilla tahoilla kehittyville uhkille: viime vuosina roskaposti on yleistynyt siinä määrin, että se ruuhkauttaa pahasti internetin sähköpostiliikennettä – eri arvioiden mukaan 80–98 prosenttia kaikesta sähköpostista on roskapostia – ja se levittää erilaisia viruksia ja haittaohjelmia. Henkilöllisyyden varastaminen ja verkkopetokset ovat kasvava riesa. Hyökkäykset ovat entistä monimutkaisempia (troijalaiset, bottiverkot jne.) ja niillä pyritään usein saamaan taloudellista hyötyä. Niillä voi olla myös poliittisia tarkoitusperiä, kuten äskettäiset Viroa, Liettuaa ja Georgiaa vastaan tehdyt verkkohyökkäykset osoittavat.”

2.12

Strategiassa esitettyihin avaintoimintoihin kuuluvat seuraavat:

Avaintoiminto 6: Esitetään vuonna 2010 korkean tason verkko- ja tietoturvapolitiikan lujittamiseen tähtääviä toimenpiteitä, joihin kuuluvat myös lainsäädäntöaloitteet, kuten Euroopan verkko- ja tietoturvaviraston (ENISA) nykyaikaistamista koskeva aloite, ja toimenpiteet, jotka mahdollistavat entistä nopeamman reagoimisen verkkohyökkäyksiin, kuten EU:n toimielinten tietotekniikan kriisiryhmä CERT.

Avaintoiminto 7: Esitetään vuonna 2010 toimenpiteitä, myös lainsäädäntöaloitteita, tietojärjestelmiin kohdistuvien verkkohyökkäysten torjumiseksi sekä vuoteen 2013 mennessä tähän liittyviä sääntöjä, jotka koskevat verkkoavaruuteen Euroopassa ja kansainvälisellä tasolla sovellettavaa toimivaltaa.

2.13

Marraskuussa 2010 julkaisemassaan tiedonannossa (KOM(2010) 673 lopullinen) komissio jatkoi digitaalistrategian kehittämistä hahmottelemalla EU:n sisäisen turvallisuuden strategian. Sillä on viisi tavoitetta, ja kolmas niistä koskee verkkoavaruudessa toimivien kansalaisten ja yritysten turvatason nostamista. Strategiaan sisältyy kolme toimintaohjelmaa, joihin sisältyvien toimien yksityiskohdat esitetään seuraavassa taulukossa (ks. tiedonanto osoitteessa http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0673:FIN:FI:DOC).

TAVOITTEET JA TOIMET	VASTAAVA TAHO	AJOITUS
TAVOITE 3: Verkkoavaruudessa toimivien kansalaisten ja yritysten turvatason nostaminen
Toimi 1: Parannetaan lainvalvonta- ja lainkäyttöviranomaisten valmiuksia.
Perustetaan tietoverkkorikollisuutta käsittelevä EU:n keskus.	Vuonna 2011 komission tekemän toteutettavuustutkimuksen mukaisesti	2013
Parannetaan valmiuksia tutkia tietoverkkorikoksia ja nostaa niiden pohjalta syytteitä.	Jäsenvaltiot, Euroopan poliisiakatemia (CEPOL), Europol ja Eurojust	2013
Toimi 2: Tehdään yhteistyötä tietotekniikkasektorin kanssa kansalaisten voimaannuttamiseksi ja suojelemiseksi.
Luodaan käytännöt tietoverkkorikollisuuden loukkauksista ilmoittamiseen sekä verkkoturvallisuutta ja tietoverkkorikollisuutta koskevaa ohjeistusta kansalaisille.	Jäsenvaltiot, komissio, Europol, ENISA ja yksityinen sektori	käynnissä
Luodaan ohjeet yhteistyöstä laittoman verkkosisällön käsittelemisessä.	Komissio, jäsenvaltiot ja yksityinen sektori	2011
Toimi 3: Parannetaan valmiuksia selviytyä tietoverkkoon kohdistuvista hyökkäyksistä.
Luodaan tietotekniikan kriisiryhmien verkosto jokaiseen jäsenvaltioon ja yksi EU:n toimielimille, kansalliset valmiussuunnitelmat sekä reagointi- ja vastatoimintaharjoitukset.	Jäsenvaltiot, EU:n toimielimet ja ENISA	2012
Luodaan eurooppalainen tiedonjako- ja hälytysjärjestelmä (EISAS).	Jäsenvaltiot, komissio ja ENISA	2013

2.14

Naton, Europolin ja Euroopan komission hahmottelemat tietoturvastrategiat ovat riippuvaisia tehokkaasta yhteistyöstä jäsenvaltioiden kanssa. Jäsenvaltioilla on runsaasti sisäisiä virastoja, jotka käsittelevät tietoturvakysymyksiä. Naton ja Europolin strategioiden on tarkoitus olla ennaltaehkäiseviä ja toiminnallisia. EU:n komission strategiassa Euroopan verkko- ja tietoturvavirasto on selvästi keskeinen osatekijä elintärkeiden tietoinfrastruktuurien suojaamiseen tarkoitettujen virastojen ja toimijoiden monitahoisessa palapelissä. Vaikka uudessa asetuksessa ei esitetä verkko- ja tietoturvavirastolle toiminnallista roolia, ETSK katsoo viraston olevan ensisijaisesti vastuussa EU:n kansalaisyhteiskunnan elintärkeistä tietoinfrastruktuureista.

3. Euroopan verkko- ja tietoturvavirastoa (ENISA) koskeva ehdotus

3.1

Verkko- ja tietoturvaviraston käsittelemiin ongelmiin vaikuttaa seitsemän tekijää:

(1)	kansallisten lähestymistapojen moninaisuus ja hajanaisuus

(2)	Euroopan rajalliset ennakkovaroitus- ja reagointivalmiudet

(3)	esiin nousevia ongelmia koskevan luotettavan tiedon vähäinen määrä ja tietämyksen rajallisuus

(4)	heikko tietoisuus verkko- ja tietoturvariskeistä ja -haasteista

(5)	verkko- ja tietoturvaongelmien kansainvälinen ulottuvuus

(6)	yhteistoimintamallien tarve politiikan asianmukaisen toteuttamisen varmistamiseksi

(7)	tarve tehostaa toimia tietoverkkorikollisuutta vastaan.

3.2	Verkko- ja tietoturvavirastoa koskeva ehdotus yhdistää nykyiset säännökset ja EU:n digitaalistrategiassa hahmotellut uudet aloitteet.

3.3

Nykyisiin politiikkoihin, joita verkko- ja tietoturvaviraston on tuettava, kuuluvat seuraavat:

(i)	Euroopan jäsenvaltiofoorumi, jolla pyritään vaalimaan keskustelua ja yhteydenpitoa hyvistä toimintamalleista ja jakamaan tietoa tieto- ja viestintäteknisen infrastruktuurin turvallisuuteen ja sietokykyyn liittyvistä poliittisista tavoitteista ja painopisteistä.

(ii)

Sietokykyä käsittelevä eurooppalainen julkis-yksityinen kumppanuus (European Public-Private Partnership for Resilience, EP3R), joka on Euroopan laajuinen joustava ohjausjärjestelmä tieto- ja viestintäteknologiainfrastruktuurin varmatoimisuuden kehittämiseksi ja joka toimii edistämällä julkisen ja yksityisen sektorin yhteistyötä tietoturva- ja varmatoimisuustavoitteisiin liittyvissä kysymyksissä.

(iii)

Eurooppa-neuvoston 11. joulukuuta 2009 hyväksymä ns. Tukholman ohjelma, jolla edistetään sellaisia politiikkoja, joilla varmistetaan verkkojen turvallisuus ja mahdollistetaan nopeampi reagointi tietoverkkohyökkäyksiin EU:ssa.

3.4

Uusiin toimiin, joita verkko- ja tietoturvaviraston on tarkoitus tukea, kuuluvat seuraavat:

(i)	Euroopan jäsenvaltiofoorumin toiminnan vahvistaminen

(ii)	Sietokykyä käsittelevän eurooppalaisen julkis-yksityisen kumppanuuden (EP3R) tukeminen keskustelemalla innovatiivisista toimenpiteistä ja keinoista, joilla voidaan parantaa turvallisuutta ja kestävyyttä.

(iii)

Sähköisen viestinnän lainsäädäntöpaketin tietoturvavaatimusten täytäntöönpano

(iv)	Verkkoturvallisuutta koskevien EU:n laajuisten valmiusharjoitusten tukeminen

(v)	Tietotekniikan CERT-kriisiryhmän perustaminen EU:n toimielimille

(vi)	Jäsenvaltioiden kannustaminen ja tukeminen niiden viimeistellessä tai perustaessa kansallisia CERT-ryhmiä, jotta voidaan luoda hyvin toimiva koko Euroopan kattava CERT-verkosto

(vii)

Verkko- ja tietoturvahaasteita koskevan tietoisuuden lisääminen.

3.5

Ennen tämän ehdotuksen viimeistelyä tarkasteltiin viittä eri toimintavaihtoehtoa. Kuhunkin vaihtoehtoon liittyi erilaisia tehtävänkuvauksia ja resursseja. Vaihtoehdoista kolmas valittiin. Siihen sisältyy verkko- ja tietoturvavirastolle aiemmin määriteltyjen toimintojen laajentaminen ja lainvalvonta- ja tietosuojaviranomaisten lisääminen sidosryhmiksi.

3.6

Vaihtoehdossa 3 uudistettu verkko- ja tietoturvavirasto tukisi osaltaan seuraavia tavoitteita:

—

Kansallisten lähestymistapojen hajanaisuuden vähentäminen (ongelmatekijä 1), tiedon lisääminen siihen perustuvaa politiikkaa ja päätöksentekoa varten (ongelmatekijä 3) ja yleisen tietoisuuden lisääminen verkko- ja tietoturvariskeistä ja -haasteista ja niihin puuttuminen (ongelmatekijä 4) tukemalla seuraavia pyrkimyksiä:

—	Kukin yksittäinen jäsenvaltio kerää entistä tehokkaammin tarvittavaa tietoa riskeistä, uhkista ja haavoittuvuuksista.

—	Asetetaan saataville enemmän tietoa verkko- ja tietoturvaan liittyvistä nykyisistä ja tulevista haasteista ja riskeistä.

—	Parannetaan verkko- ja tietoturvapolitiikan laatua jäsenvaltioissa.

—

Euroopan varhaisvaroitus- ja reagointivalmiuksien parantaminen (ongelmatekijä 2)

—	auttamalla komissiota ja jäsenvaltioita toteuttamaan yleiseurooppalaisia harjoituksia ja saavuttaen näin mittakaavahyötyjä EU:n laajuisiin uhkiin reagoimisessa

—	helpottamalla EP3R:n toimintaa, joka voisi viime kädessä lisätä investointeja yhteisten poliittisten tavoitteiden ja EU:n laajuisten tietoturva- ja sietokykynormien myötä.

—

Yhteisen maailmanlaajuisen lähestymistavan edistäminen verkko- ja tietoturva-asioissa (ongelmatekijä 5)

—	lisäämällä tiedonvaihtoa EU:n ulkopuolisten maiden kanssa.

—

Tietoverkkorikollisuuden tehokkaampi ja tuloksellisempi torjunta (ongelmatekijä 7)

—	osallistumalla oikeudellisen ja lainvalvontayhteistyön verkko- ja tietoturvanäkökohtiin liittyviin ei-operatiivisiin tehtäviin, kuten kaksisuuntaiseen tiedonvaihtoon ja koulutukseen (esim. yhteistyössä Euroopan poliisiakatemian CEPOLin kanssa).

3.7

Vaihtoehdossa 3 virastolla olisi kaikki tarvittavat resurssit suoriutuakseen tehtävistään riittävän perusteellisesti, jolloin sillä olisi todellisia vaikutuksia. Suurempien resurssien avulla (5) virasto voisi ottaa paljon ennakoivamman roolin ja edistää aloitteellisemmin sidosryhmien aktiivista osallistumista. Lisäksi tämä uusi tilanne antaisi lisää joustavuutta reagoida nopeasti muutoksiin alati kehittyvässä verkko- ja tietoturvaympäristössä.

3.8

Toimintavaihtoehtoon 4 sisältyvät tietoverkkohyökkäysten torjuntaan ja tietoverkkoloukkauksiin reagointiin liittyvät operatiiviset tehtävät. Edellä esitettyjen tehtävien lisäksi virastolla olisi operatiivisia toimintoja, kuten aktiivisempi rooli EU:n kriittisten tietoinfrastruktuurien suojaamisessa esimerkiksi ennaltaehkäisyn ja reagoinnin alalla. Erityisesti se toimisi EU:n verkko- ja tietoturva-alan kriisikeskuksena (CERT-ryhmänä) ja koordinoisi kansallisia CERT-ryhmiä alan hälytyskeskuksena myös päivittäisessä hallinnoinnissa ja kriisipalvelujen hoitamisessa.

3.9

Vaihtoehto 4 tuottaisi vaihtoehdossa 3 saavutettavien vaikutusten lisäksi suurempia vaikutuksia operatiivisella tasolla. Toimimalla EU:n verkko- ja tietoturvan CERT-keskuksena ja koordinoimalla kansallisia CERT-ryhmiä virasto voisi esimerkiksi osaltaan auttaa tuottamaan suurempia mittakaavaetuja vastattaessa EU:n laajuisiin uhkiin ja alentaa yritysten toimintariskejä, kun tietoturva ja järjestelmien sietokyky paranisi. Tämä vaihtoehto edellyttäisi viraston budjetin ja henkilöresurssien huomattavaa kasvattamista, mikä herättää epäilyjä viraston kyvystä hyödyntää ja käyttää tuloksellisesti sille osoitetut varat suhteessa tavoiteltuihin hyötyihin.

3.10

Toimintavaihtoehtoon 5 sisältyvät operatiiviset toiminnot lainvalvonta- ja oikeusviranomaisten tukemiseksi tietoverkkorikollisuuden torjunnassa. Vaihtoehdossa 4 lueteltujen toimintojen lisäksi tämä vaihtoehto sisältäisi toimintoja, joiden myötä virasto voisi

—	tukea oikeusprosesseja (vrt. tietoverkkorikollisuutta koskeva yleissopimus): esim. viestintäliikennetietojen keruu, sisältötiedon kaappaaminen, liikennevirtojen seuranta palvelunestohyökkäyksissä

—	toimia asiantuntijakeskuksena rikostutkinta-asioissa, joihin liittyy verkko- ja tietoturvanäkökohtia.

3.11	Vaihtoehdossa 5 päästäisiin tietoverkkorikollisuuden torjunnassa vaihtoehtoja 3 ja 4 suurempaan vaikuttavuuteen lisäämällä virastolle lainvalvonta- ja oikeusviranomaisia tukevia operatiivisia toimintoja.

3.12	Vaihtoehto 5 edellyttäisi viraston resurssien huomattavaa lisäämistä ja herättäisi myös epäilyjä budjetin hyödyntämiskyvystä ja tuloksellisesta käytöstä.

3.13

Vaikka vaihtoehtojen 4 ja 5 myönteiset vaikutukset olisivat suuremmat kuin vaihtoehdon 3, komissio katsoo, että niitä ei tule toteuttaa useistakin syistä:

—	Molemmat olisivat jäsenvaltioille poliittisesti hankalia ajatellen niiden vastuita kriittisten tietoinfrastruktuurien suojaamisessa (eli useat jäsenvaltiot eivät kannattaisi operatiivisten toimintojen keskittämistä).

—	Toimeksiannon laajentaminen vaihtoehtojen 4 ja 5 mukaisesti saattaisi hämärtää viraston aseman.

—	Näiden uusien ja täysin erilaisten operatiivisten tehtävien lisääminen viraston toimeksiantoon saattaisi myös osoittautua erittäin haastavaksi lyhyellä aikavälillä, ja on olemassa merkittävä riski, että virasto ei pystyisi suoriutumaan tällaisista tehtävistä asianmukaisesti kohtuullisessa ajassa.

—	Vaihtoehtojen 4 ja 5 toteutuskustannukset ovat myös kohtuuttoman suuret – tarvittava budjetti olisi neljä tai viisi kertaa suurempi kuin viraston nykybudjetti.

4. Asetukseen sisältyvät säännökset

4.1	Virasto auttaa komissiota ja jäsenvaltioita täyttämään lainsäädännössä asetetut verkko- ja tietoturvaan liittyvät oikeudelliset ja sääntelylliset vaatimukset.

4.2	Johtokunta määrittelee viraston toiminnan yleisen suunnan.

4.3	Johtokuntaan kuuluu yksi edustaja kustakin jäsenvaltiosta, kolme komission nimittämää edustajaa sekä yksi edustaja sekä tieto- ja viestintätekniikkateollisuudesta, kuluttajaryhmistä että tietotekniikan alan korkeakouluista.

4.4	Virastoa johtaa riippumaton pääjohtaja, jonka vastuulla on viraston työohjelman laatiminen johtokunnan hyväksyttäväksi.

4.5	Lisäksi pääjohtajan vastuulla on työohjelmaa tukevan vuosittaisen talousarvion laatiminen. Johtokunnan on esitettävä sekä talousarvio että työohjelma komission ja jäsenvaltioiden hyväksyttäväksi.

4.6	Pääjohtajan ehdotuksen perusteella johtokunta perustaa pysyvän sidosryhmän, joka koostuu tieto- ja viestintäteknologiateollisuuden, kuluttajajärjestöjen, akateemisten asiantuntijoiden sekä lainvalvonta- ja tietosuojaviranomaisten edustajista.

4.7	Koska asetus on vielä ehdotusasteella, resurssien määrä on epävarma. Nykyisin virastolla on 44–50 työntekijää ja sen talousarvio on 8 miljoonaa euroa. Periaatteessa vaihtoehtoon 3 voisi sisältyä 99 työntekijän henkilökunta ja 17 miljoonan euron talousarvio.

4.8	Asetusehdotuksessa esitetään määräaikaista viiden vuoden toimikautta.

Bryssel 17. helmikuuta 2011

Euroopan talous- ja sosiaalikomitean puheenjohtaja

Staffan NILSSON

(1) EYVL C 48, 21.2.2002, s. 33.

(2) EUVL C 220, 16.9.2003, s. 33.

(3) EUVL C 97, 28.4.2007, s. 21.

(4) EUVL C 255, 22.9.2010, s. 98.

(5) Viittaus suurempiin resursseihin perustuu olettamukseen, että verkko- ja tietoturvavirastoa koskeva ehdotus hyväksytään nykyisessä muodossaan.