10.3.2017   

FI

Euroopan unionin virallinen lehti

C 75/124

Esittelijä:

Thomas McDONOGH

1.1

Komitea on tyytyväinen komission tiedonantoon Euroopan kyberresilienssijärjestelmän vahvistamisesta sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukemisesta. Komitea yhtyy komission huoleen siitä, että Eurooppa on edelleen haavoittuvainen kyberhyökkäysten suhteen, ja toteaa, että vähintään 80 prosenttia eurooppalaisista yrityksistä on kokenut viime vuoden aikana kyberturvallisuuspoikkeaman ja että turvapoikkeamien määrä kaikilla elinkeinoaloilla maailmanlaajuisesti kasvoi 38 prosentilla vuonna 2015 (The Global State of Information Security Survey 2016, PWC). Komitea on komission kanssa samaa mieltä siitä, että tarvitaan toimenpiteitä Euroopan kyberresilienssijärjestelmän parantamiseksi ja Euroopan kyberturvallisuustoimialan kilpailu- ja innovointikyvyn edistämiseksi.

1.2

Komitea suhtautuu ehdotukseen erityisen myönteisesti, kun otetaan huomioon vastikään hyväksytty verkko- ja tietoturvadirektiivi (1), jolla pyritään yhdenmukaistamaan kyberturvallisuuteen sovellettavaa lähestymistapaa Euroopan unionissa, sekä laajempi kyberturvallisuusstrategia (2), jossa hahmotellaan nykyinen visio parhaista tavoista ehkäistä tietoverkkohäiriöitä ja -hyökkäyksiä ja reagoida niihin, edistää eurooppalaisia vapauden ja demokratian arvoja ja varmistaa, että digitaalitalous voi kasvaa turvallisesti.

1.3

ETSK yhtyy näkemykseen, jonka mukaan tarvitaan kattavia toimenpiteitä, jotta Euroopan elintärkeitä digitaalisia infrastruktuureja ja palveluita voidaan suojella turvallisuusuhilta. Komitea panee tyytyväisenä merkille, että nyt ehdotetuilla toimenpiteillä toteutetaan iso osa komitean monissa aikaisemmissa lausunnoissaan (3) esittämistä suosituksista kyberturvallisuuden parantamiseksi koko EU:ssa.

1.4

ETSK on tyytyväinen siihen, että komissio on allekirjoittanut sopimuksen julkisen ja yksityisen sektorin kyberturvallisuuskumppanuudesta, jonka odotetaan käynnistävän 1,8 miljardin euron investoinnit EU:n kyberturvallisuustoimialalla tarkoituksena edistää yhteistyötä tutkimus- ja innovointiprosessin varhaisessa vaiheessa ja luoda kyberturvallisuusratkaisuja eri aloja varten, esim. energia-, terveydenhuolto-, liikenne- ja rahoitusalalle. Komitea toivoo erityisesti, että tällä julkisen ja yksityisen sektorin kumppanuudella tuetaan varhaisvaiheen kyberturvallisuusyritysten kehitystä koko unionin alueella.

1.5

Komitea pitää tervetulleena komission aikomusta arvioida vuoden 2017 loppuun mennessä tarvetta muuttaa tai jatkaa Euroopan verkko- ja tietoturvaviraston (ENISA) toimeksiantoa, ja komitea odottaa, että komissio kuulee sitä asiassa. ETSK katsoo, että mikäli ENISAn toimeksiantoa jatketaan, siihen tulisi sisältyä viraston entistä suurempi operatiivinen rooli, jotta voidaan entistä tehokkaammin lisätä tietoisuutta verkkohyökkäyksien uhasta ja vahvistaa reagointivalmiuksia koko EU:ssa. Lisäksi virastolla tulisi olla suorempi vastuu verkkoturvallisuuskoulutuksesta ja valveuttamisohjelmista, jotka on suunnattu erityisesti kansalaisille sekä pienille ja keskisuurille yrityksille.

1.6

Jotta voidaan vahvistaa EU-tasolla tarvittavaa johtajuutta ja yhdentymistä tehokkaan Euroopan laajuisen kyberturvallisuuspolitiikan täytäntöönpanoon liittyvien ongelmien käsittelemiseksi, komitea kehottaa komissiota arvioimaan mahdollisuutta muuttaa ENISAn asema ilmailualan keskusviranomaisen eli Euroopan lentoturvallisuusviraston (EASA) kaltaiseksi EU-tason kyberturvallisuusviranomaiseksi. Jos tällainen ENISAn tehtävänkuvan muuttaminen ei ole mahdollista, ETSK kehottaa perustamaan kokonaan uuden kyberturvallisuusviranomaisen.

1.7

ETSK kehottaa komissiota harkitsemaan IT-alan kypsyysmallia CMM (Capability Maturity Model) vastaavan kyberturvallisuuden kansallisen kehittämismallin ja luokitusjärjestelmän luomista, jotta kyberresilienssin tasoa voidaan mitata objektiivisesti jokaisessa jäsenvaltiossa.

1.8

Komitea panee merkille, että komissio tarkastelee tarvetta ajantasaistaa vuonna 2013 hyväksyttyä EU:n kyberturvallisuusstrategiaa lähitulevaisuudessa, ja komitea odottaa, että komissio kuulee sitä aikanaan ehdotuksistaan.

1.9

Kyberturvallisuuden merkitys ja kyberrikollisuuden jatkuvasti kasvava uhka huomioon ottaen ETSK toivoo, että Europolin yhteydessä toimivalle Euroopan verkkorikostorjuntakeskukselle sekä Euroopan puolustusvirastolle osoitetaan riittävät varat ja resurssit.

1.10

Kun otetaan huomioon julkisten laitosten ja virastojen tallentamien henkilötietojen suojaamisen merkitys, komitea toivoo, että kaikille julkisen hallinnon työntekijöille annettaisiin erityiskoulutusta tietohallinnon, tietosuojan ja kyberturvallisuuden alalla.

1.11

ETSK tarkastelee EU:n suojelemista kyberrikollisuudelta ja kyberhyökkäyksiltä sekä vahvan kyberturvallisuustoimialan kehittämistä Euroopassa kokonaisvaltaisesti ja katsoo, että EU:n kyberturvallisuusstrategiassa ja -politiikassa on otettava huomioon erityisesti seuraavat näkökohdat: EU:n vahva johtoasema; turvallisuutta lisäävät kyberturvallisuuspolitiikat, joilla taataan samalla yksityisyys ja muut perusoikeudet; kansalaisten valveuttaminen sekä kannustaminen ennakoiviin suojautumista helpottaviin toimintatapoihin; jäsenvaltioiden toteuttama kattava hallinnointi; tietoperusteinen ja vastuullinen yritysten toiminta; valtiovallan, yksityisen sektorin ja kansalaisten tiivis kumppanuus; investointien riittävä taso; asianmukaiset tekniset standardit ja riittävät t&k&i-investoinnit; sitoutuminen kansainvälisellä tasolla.

2.1

Tiedonannossa esitetään toimenpiteitä, joiden tarkoituksena on parantaa Euroopan kyberresilienssijärjestelmää ja edistää Euroopan kyberturvallisuustoimialan kilpailu- ja innovointikykyä EU:n kyberturvallisuusstrategian ja digitaalisten sisämarkkinoiden strategian tavoitteiden mukaisesti.

2.2

Komission ehdottamilla toimenpiteillä tuetaan tämän saavuttamiseksi verkko- ja tietoturvadirektiivin säännöksiä kyberturvallisuusalan yhteistyön, tiedonvaihdon, koulutuksen ja turvajärjestelyiden vahvistamiseksi koko EU:ssa. Komissio suorittaa myös ENISAn arvioinnin vuoden 2017 loppuun mennessä ja harkitsee tarvetta muuttaa tai laajentaa ENISAn toimeksiantoa.

2.2.1

Komissio tekee jäsenvaltioiden, ENISAn, EEAS:n ja muiden EU:n elinten kanssa tiivistä yhteistyötä kyberturvallisuuden koulutusfoorumin perustamiseksi.

2.2.2

Komissio ehdottaa eri alojen välisiin keskinäisiin riippuvuussuhteisiin ja julkisen verkon keskeisen infrastruktuurin resilienssin vahvistamiseen liittyviä toimenpiteitä, mm. tietojen jakamisen ja analysoinnin alakohtaisten eurooppalaisten keskusten ja niiden yhteistoiminnan kehittämistä CSIRT-ryhmien kanssa. Komissio ehdottaa myös, että kansalliset viranomaiset voisivat pyytää CSIRT-ryhmiä tekemään keskeiseen verkkoinfrastruktuuriin kohdistuvia säännöllisiä tarkastuksia.

2.3

Komission esittämillä toimenpiteillä vastataan myös tarpeeseen lisätä tukea vahvan eurooppalaisen kyberturvallisuustoimialan kasvulle ja kehittymiselle koulutuksella, investoinneilla, sisämarkkinoiden vaatimuksilla ja julkisen ja yksityisen sektorin uuden kyberturvallisuuskumppanuuden luomisella, jonka odotetaan käynnistävän 1,8 miljardin euron investoinnit vuoteen 2020 mennessä.

2.3.1

Lisäksi ehdotetaan tieto- ja viestintäteknologian turvallisuussertifioinnin eurooppalaisia puitteita koskevan ehdotuksen laatimista vuoden 2017 loppuun mennessä sekä eurooppalaisen kevennetyn kyberturvallisuuden merkintäjärjestelmän toteutettavuuden ja vaikutusten arvioimista.

2.3.2

Kyberturvallisuuteen investoimisen lisäämiseksi Euroopassa ja pk-yritysten tukemiseksi komissio aikoo lisätä kyberturvallisuusyhteisön tietämystä nykyisistä rahoitusvälineistä, lisätä EU:n rahoitusvälineiden ja muiden välineiden käyttöä innovatiivisten pk-yritysten tukemiseksi niiden tavoitellessa synergiaa siviili- ja puolustusalan kyberturvallisuusmarkkinoiden välillä (esimerkiksi Yritys-Eurooppa-verkosto ja puolustukseen liittyvien alueiden eurooppalainen verkosto tarjoavat alueille uusia mahdollisuuksia rajat ylittävään yhteistyöhön kaksikäyttötuotteiden alalla, kyberturvallisuus mukaan lukien, ja pk-yrityksille tilaisuuksia löytää yhteistyökumppaneita), tutkia, voisiko investointien saatavuutta helpottaa kyberturvallisuuden investointijärjestelyn tai muiden välineiden avulla, sekä kehittää kyberturvallisuuden älykkään erikoistumisen foorumin auttaakseen asiasta kiinnostuneita jäsenvaltioita ja alueita, joita asia koskee, investoimaan kyberturvallisuuden alaan (RIS3).

2.3.3

Saadakseen innovaatioista tukea ja kasvuvoimaa Euroopan kyberturvallisuusalalle komissio aikoo allekirjoittaa toimialan kanssa sopimuksen julkisen ja yksityisen sektorin kyberturvallisuuskumppanuudesta, käynnistää edellä mainittuun kumppanuuteen liittyviä Horisontti 2020 -ehdotuspyyntöjä sekä varmistaa julkisen ja yksityisen sektorin kyberturvallisuuskumppanuuden koordinoinnin asiaa koskevien alakohtaisten strategioiden, Horisontti 2020 -välineiden sekä alakohtaisten julkisen ja yksityisen sektorin kumppanuuksien kanssa.

3.1

Digitaalitalous luo yli viidenneksen bkt:n kasvusta EU:ssa, ja joka vuosi valtaosa eurooppalaisista tekee verkko-ostoksia. Olemme riippuvaisia internetistä ja siihen liittyvästä digitaaliteknologiasta ylläpitääksemme elintärkeitä energia-, terveys-, viranomais- ja rahoituspalveluitamme. Kriittisen tärkeät digitaaliset infrastruktuurit ja palvelut, joilla on olennainen rooli talous- ja yhteiskuntaelämässä, ovat kuitenkin alttiita hyvinvointiamme ja elämänlaatuamme uhkaavien kyberrikollisuuden ja kyberhyökkäyksien kasvavalle vaaralle.

3.2

Valtiovallalla, julkisilla laitoksilla ja virastoilla on nykyisin hallussaan hyvin paljon kaikkien kansalaisten henkilötietoja sähköisessä muodossa. Näin ollen hyvällä tietohallinnolla, kyberturvallisuudella ja tietosuojalla on suuri merkitys kansalaisten kannalta koko unionissa, ja heidän on saatava varmuus siitä, että heidän henkilötietojaan ja yksityisyyttään suojellaan EU:n direktiivien ja asetusten mukaisesti. Tämä koskee erityisesti terveys-, talous-, oikeudellisia ja muita tietoja, joita voitaisiin käyttää identiteettivarkauteen tai jotka voitaisiin epäasianmukaisesti paljastaa kolmansille osapuolille. On ratkaisevan tärkeää, että kaikki julkisen alan työntekijät ovat hyvin koulutettuja tietohallinnon, kyberturvallisuuden ja tietosuojan suhteen.

3.3

Kansalaisia olisi opetettava huolehtimaan omasta kyberturvallisuudestaan, myös tietoturvastaan, ja tällaisen opetuksen olisi oltava kaikkien digitaalisen lukutaidon opetussuunnitelmien peruselementti. EU-johtoisella valistusohjelmalla voidaan tukea vähemmän aktiivisten jäsenvaltioiden toimia ja auttaa varmistamaan, että strategia ymmärretään asianmukaisesti. Näin se voi vähentää yksityisyyden suojaan liittyviä pelkoja ja lisätä luottamusta digitaalitalouteen. Tällaisen ohjelman toteutukseen voisivat osallistua kuluttajajärjestöt ja kansalaisyhteiskunnan organisaatiot kaikkialta unionista, mukaan lukien iäkkäämpien kansalaisten tarpeita palvelevat koulutuslaitokset.

3.4

Jokaisen jäsenvaltion tulisi valtuuttaa olemassa olevat teollisuusalan kehittämisjärjestönsä informoimaan, valistamaan ja tukemaan pk-sektoria kyberturvallisuuteen liittyvissä asioissa. Suuret yritykset voivat helposti hankkia tarvitsemansa osaamisen, mutta pk-yritykset tarvitsevat tukea.

3.5

Olisi erittäin hyödyllistä, jos käytössä olisi objektiivinen mitta jokaisen jäsenvaltion kyberresilienssin tasoa varten, jotta vertailutietoja voitaisiin käyttää puutteiden korjaamiseen ja parannusten tekemiseen. Voitaisiin mahdollisesti luoda IT-alan kypsyysmallia CMM (Capability Maturity Model) vastaava kyberturvallisuuden kehittämismalli ja luokitusjärjestelmä, jotta voidaan mitata kansallista kyberturvallisuuden ja -resilienssin tasoa.

3.6

Kattavaan kyberturvallisuusstrategiaan tulisi sisältyä seuraavat toimenpiteet:

4.1

Verkko- ja tietoturvadirektiivissä hahmoteltuun kyberturvallisuuden hallinnointikehykseen ja tähän tiedonantoon nyt sisällytettyihin lisätoimenpiteisiin tukeutuen EU:n tulisi harkita unionissa vallitsevan, kyberturvallisuuden parantamista koskevan hajanaisen lähestymistavan korjaamista luomalla vahva keskitetty kyberturvallisuusviranomainen Euroopan lentoturvallisuusviraston (EASA) tai vastikään Yhdysvalloissa luodun liittovaltiotason tietoturvallisuusjohtajan (Federal Chief Information Security Officer; Cybersecurity National Action Plan, White House,9. helmikuuta 2016) mallin mukaisesti. Sen vastuulla olisi kyberturvallisuuspolitiikan täytäntöönpanon valvominen EU-tasolla ja alalla toimivien eri tahojen toimien yhdentäminen.

4.2

Komitea on vaikuttunut ENISAn vuosien mittaan kehittämästä kompetenssista ja uskoo, että se voisi antaa vieläkin suuremman panoksen Euroopan kyberresilienssiin ja -turvallisuuteen. ENISAn operatiivista toimeksiantoa tulisi vahvistaa, jotta voidaan entistä tehokkaammin lisätä tietoisuutta verkkohyökkäyksien uhasta ja vahvistaa reagointivalmiuksia kaikkialla EU:ssa. Toimeksiannon tarkistus on paikallaan, kun otetaan huomioon, miten kyberturvallisuusympäristö on muuttunut ENISAn perustamisen jälkeen. Verkko- ja tietoturvadirektiiviin tukeutuen voitaisiin ehkä laajentaa ENISAn operatiivista roolia ja lisätä näin hyötyä, jonka se voi antaa EU:lle, jäsenvaltioille, kansalaisille ja yrityksille, hyödyntämällä sen osaamista ja synergioita EU:n ja jäsenvaltioiden muiden laitosten, virastojen ja elinten, kuten CERT-EU:n, Euroopan verkkorikostorjuntakeskuksen ja Euroopan puolustusviraston työn kanssa. ENISAlle tulisi myös antaa enemmän suoraa vastuuta erityisesti kansalaisille ja pk-yrityksille suunnatuista kyberturvallisuusalan koulutus- ja valveuttamisohjelmista.

4.3

Kun Euroopan verkkorikostorjuntakeskus (EC3) perustettiin vuonna 2013, sen toimintamäärärahat olivat ainoastaan 7 miljoonaa euroa, alle 10 prosenttia Europolin kokonaisbudjetista (Euroopan komission muistio Memo/13/6, 9. tammikuuta 2012). Vuonna 2014 EC3:n johtaja totesi, että leikkauksilla oli rajoitettu merkittävästi hänen yksikölleen osoitettuja määrärahoja, ja että heillä oli vaikeuksia pysyä nopeasti kehittyvien kyberrikollisuusuhkien kannoilla (Security Magazine, 1.11.2014). ETSK katsoo, että Europolille osoitettuja määrärahoja kyberrikollisuuden torjumiseksi on lisättävä merkittävästi kehittyvän uhan kannoilla pysymiseksi. Europolin vuoden 2016 talousarvio on edelleen vain 100 miljoonaa euroa (4).

4.4

Komitea pitää tervetulleina verkko- ja tietoturvadirektiivin säännöksiä ja tiedonannossa ehdotettuja toimia, joilla pyritään parantamaan jäsenvaltioiden välistä kyberturvallisuusalan yhteistyötä. Kaikkien kansalaisten turvallisuuden takaamiseksi ja vahvan kyberresilienssin saavuttamiseksi koko EU:ssa, jossa elintärkeät tietoinfrastruktuurit ovat usein yhteydessä toisiinsa, on tärkeää, että yhteistyötoimenpiteillä kurotaan umpeen kasvavaa kuilua kyberturvallisuuden alalla pisimmälle kehittyneiden maiden ja heikomman osaamistason maiden välillä.