28.6.2018   

FI

Euroopan unionin virallinen lehti

C 227/86


Euroopan talous- ja sosiaalikomitean lausunto aiheesta ”Ehdotus Euroopan parlamentin ja neuvoston asetukseksi EU:n kyberturvallisuusvirastosta ENISAsta ja asetuksen (EU) 526/2013 kumoamisesta sekä tieto- ja viestintätekniikan kyberturvallisuussertifioinnista (’kyberturvallisuusasetus’)”

(COM(2017) 477 final/2 2017/0225 (COD))

(2018/C 227/13)

Esittelijä:

Alberto MAZZOLA

Toinen esittelijä:

Antonio LONGO

Lausuntopyyntö

Euroopan parlamentti, 23.10.2017

Euroopan unionin neuvosto, 25.10.2017

Oikeusperusta

Euroopan unionin toiminnasta tehdyn sopimuksen 114 artikla

Vastaava erityisjaosto

”liikenne, energia, perusrakenteet, tietoyhteiskunta”

Hyväksyminen erityisjaostossa

5.2.2018

Hyväksyminen täysistunnossa

14.2.2018

Täysistunnon nro

532

Äänestystulos

(puolesta / vastaan / pidättyi äänestämästä)

206/1/2

1.   Päätelmät ja suositukset

1.1

ETSK katsoo, että komission ehdottama Euroopan unionin verkko- ja tietoturvaviraston (ENISA) uusi pysyvä mandaatti edistää merkittävästi eurooppalaisten järjestelmien resilienssin vahvistamista. ENISAlle myönnetty alustava talousarvio ja resurssit eivät kuitenkaan riitä virastolle annetun toimeksiannon suorittamiseen.

1.2

ETSK kehottaa kaikkia jäsenvaltioita perustamaan selkeän vastineen ENISAlle, koska useimmat eivät ole vielä tehneet sitä.

1.3

ETSK katsoo myös, että valmiuksien kehittämisessä ENISAn olisi asetettava etusijalle toimet, joilla tuetaan sähköistä hallintoa (1). Henkilöiden, organisaatioiden ja esineiden eurooppalainen tai maailmanlaajuinen digitaalinen identiteetti on keskeisen tärkeä, ja etusijalle olisi asetettava identiteettivarkauksien sekä verkkopetosten estäminen ja torjuminen.

1.4

ETSK suosittaa, että ENISAn olisi annettava säännöllisesti raportteja jäsenvaltioiden valmiudesta torjua kyberuhkia (cyber readiness) ja keskityttävä pääasiassa verkko- ja tietoturvadirektiivin liitteessä II mainittuihin aloihin. Vuosittaisessa yleiseurooppalaisessa kyberharjoituksessa olisi arvioitava jäsenvaltioiden valmiuksia ja kyberturvallisuuskriisejä koskevan eurooppalaisen reagointimekanismin tehokkuutta sekä annettava suosituksia.

1.5

ETSK kannattaa ehdotusta kyberturvallisuuden osaamisverkoston luomisesta. Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskus vastaisi tästä verkostosta. Verkosto voisi tukea Euroopan digitaalista itsemääräämisoikeutta kehittämällä kilpailukykyisen eurooppalaisen teollisen perustan keskeiselle teknologiaosaamiselle julkisen ja yksityisen sektorin sopimusperusteisen kumppanuuden pohjalta, ja sen olisi kehityttävä kolmen osapuolen yhteisyritykseksi.

1.6

Inhimillinen tekijä on yksi kyberturvallisuuspoikkeamien tärkeimmistä syistä. ETSK katsoo, että on luotava vahva kyberosaamispohja ja parannettava kyberhygieniaa myös yksittäisille ihmisille ja yrityksille suunnatuilla tiedotuskampanjoilla. ETSK kannattaa EU-sertifioidun opetussuunnitelman luomista kouluille ja ammattilaisille.

1.7

ETSK katsoo, että Euroopan digitaaliset sisämarkkinat edellyttävät kyberturvallisuussääntöjen yhdenmukaista tulkintaa ja niiden vastavuoroista tunnustamista jäsenvaltioissa ja että sertifiointikehys ja eri alojen sertifiointijärjestelmät voisivat tarjota tälle yhteisen perustan. Eri aloilla on kuitenkin sovellettava erilaisia lähestymistapoja niiden toimintatavan vuoksi. ETSK katsookin, että EU:n alakohtaiset virastot (Euroopan lentoturvallisuusvirasto, Euroopan unionin rautatievirasto, Euroopan lääkevirasto jne.) olisi otettava mukaan prosessiin ja eräissä tapauksissa niiden tehtäväksi olisi annettava laatia kyberturvallisuusjärjestelmiä, minkä olisi tapahduttava ENISAn suostumuksella johdonmukaisuuden varmistamiseksi. Tietotekniikan turvallisuuden eurooppalaiset vähimmäisvaatimukset olisi hyväksyttävä yhteistyössä Euroopan standardointikomitean (CEN), Euroopan sähkötekniikan standardointijärjestön (Cenelec) ja eurooppalaisen telealan standardoimisjärjestön (ETSI) kanssa.

1.8

ENISAn tukeman Euroopan kyberturvallisuuden sertifiointiryhmän olisi koostuttava kansallisista sertifioinnin valvontaelimistä, yksityisen sektorin sidosryhmistä ja eri sovellusalojen toimijoista sekä tiedemaailman ja kansalaisyhteiskunnan toimijoista.

1.9

ETSK katsoo, että viraston olisi valvottava kansallisten sertifiointialan valvontaviranomaisten toimintaa ja päätöksentekoa tekemällä tarkastuksia komission puolesta ja että vastuut ja seuraamukset standardien noudattamatta jättämisestä olisi määriteltävä asetuksessa.

1.10

ETSK katsoo, että sertifiointitoimintaan kuuluu myös asianmukainen merkintäjärjestelmä, jota on sovellettava myös tuontituotteisiin kuluttajien luottamuksen vahvistamiseksi.

1.11

Euroopan olisi lisättävä investointeja suuntaamalla EU:n eri rahastoja, kansallisia rahastoja ja yksityisen sektorin investointeja kohti strategisia tavoitteita julkisen ja yksityisen sektorin vankan yhteistyön puitteissa sekä myös perustamalla nykyisessä ja tulevassa tutkimuksen puiteohjelmassa EU:n kyberturvallisuusrahasto innovointia sekä tutkimusta ja kehitystä varten. Lisäksi unionin olisi perustettava rahasto kyberturvallisuuden toteuttamista varten ja avattava uusi rahoitusmahdollisuus nykyisessä ja tulevassa Verkkojen Eurooppa -välineessä sekä seuraavassa ESIR 3.0 -rahastossa.

1.12

ETSK katsoo, että vähimmäisturvallisuustaso on tarpeen ”ihmisten internetin””tavanomaisille” laitteille. Tässä tapauksessa sertifiointi on keskeinen menetelmä turvallisuustason korottamiseksi. Esineiden internetin turvallisuus olisi asetettava etusijalle.

2.   Kyberturvallisuuden nykyinen kehys

2.1

Kyberturvallisuus on ratkaisevan tärkeää vauraudelle, kansalliselle turvallisuudelle sekä demokratioidemme, vapauksiemme ja arvojemme toiminnalle. YK:n Global Cybersecurity Index -asiakirjassa todetaan, että kyberturvallisuus on ekosysteemi, jossa lakien, organisaatioiden, osaamisen, yhteistyön ja teknisen toteutuksen on oltava sopusoinnussa, jotta se toimisi mahdollisimman tehokkaasti, ja että kyberturvallisuus on yhä tärkeämmässä asemassa eri maiden päättäjien pohdinnoissa.

2.2

Turvallisen ekosysteemin tarve on yhä tärkeämpää internet-vallankumouksen vuoksi. Tämä vallankumous on määritellyt uudelleen yrittäjien ja kuluttajien väliset alat kuten median, vähittäiskaupan ja rahoituspalvelut. Niiden lisäksi se vaikuttaa myös valmistusteollisuuteen, energiaan, maatalouteen, liikenteeseen ja muihin talouden teollisuusaloihin, jotka yhdessä kattavat lähes kaksi kolmannesta koko maailman bruttokansantuotteesta, sekä palvelujen infrastruktuuriin ja ihmisten vuorovaikutukseen julkishallinnon kanssa.

2.3

Digitaalisten sisämarkkinoiden strategiaan kuuluu tavaroiden, palvelujen ja sisällön saatavuuden parantaminen, asianmukaisten oikeudellisten puitteiden luominen digitaalisille verkoille ja palveluille sekä datavetoisen talouden etujen hyödyntäminen. On arvioitu, että strategia voisi tuoda EU:n talouteen vuosittain 415 miljardia euroa. Yksityisellä sektorilla työskentelevien kyberturvallisuusalan ammattilaisten vajeen arvioidaan olevan 350 000 henkilöä vuoteen 2022 mennessä (2).

2.4

Vuonna 2014 tehdyssä tutkimuksessa arvioitiin, että kyberrikollisuuden taloudelliset vaikutukset EU:ssa olivat 0,41 prosenttia EU:n bkt:stä (eli noin 55 miljardia euroa) vuonna 2013 (3).

2.5

Eurooppalaisten asenteita kyberturvallisuuteen käsittelevän erityiseurobarometrin 464a mukaan 73 prosenttia internetin käyttäjistä on huolissaan siitä, että verkkopalveluissa olevat henkilötiedot eivät ehkä ole turvassa verkkosivustoilla ja 65 prosenttia siitä, että viranomaiset eivät ehkä pidä niitä turvassa. Useimmat vastaajat ovat huolestuneita joutumisesta erilaisten kyberrikollisuuden uhreiksi ja erityisesti laitteisiin tulevista haittaohjelmista (69 prosenttia), identiteettivarkauksista (69 prosenttia) sekä pankkikortti- ja verkkopankkipetoksista (66 prosenttia) (4).

2.6

Toistaiseksi mikään oikeudellinen kehys ei ole pysynyt digitaalisen innovoinnin tahdissa, ja monet oikeudelliset tekstit vaikuttavat yksi kerrallaan asianmukaisten puitteiden luomiseen: televiestintäsäännöstön tarkistus, yleinen tietosuoja-asetus, verkko- ja tietoturvadirektiivi, asetus sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla (eIDAS-asetus), EU:n ja Yhdysvaltojen Privacy Shield -järjestely, muihin maksuvälineisiin kuin käteisrahaan liittyviä petoksia koskeva direktiivi jne.

2.7

ENISAn eli ”EU:n kyberturvallisuusviraston” lisäksi on olemassa monia erilaisia organisaatioita, jotka käsittelevät kyberturvallisuuteen liittyviä kysymyksiä: Europol, EU:n toimielinten ja virastojen tietotekniikan kriisiryhmä (CERT-EU), EU:n tiedusteluanalyysikeskus (INTCEN), vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaava eurooppalainen virasto (eu-LISA), tietojen jakamisen ja analysoinnin alakohtaiset keskukset (ISAC), Euroopan kyberturvallisuusorganisaatio (ECSO), Euroopan puolustusvirasto (EDA), Naton kyberpuolustuksen osaamiskeskus ja tieto- ja televiestintätekniikan kehitystä kansainvälisen turvallisuuden yhteydessä käsittelevä YK:n hallitusten asiantuntijaryhmä (UN CGE).

2.8

Sisäänrakennettu turvallisuus on keskeinen tekijä, jonka avulla voidaan tarjota korkealaatuisia tavaroita ja palveluja. Älylaitteet eivät ole kovin älykkäitä elleivät ne ole turvallisia, ja sama pätee älykkäisiin autoihin, kaupunkeihin ja sairaaloihin. Kaikki nämä edellyttävät laitteiden, järjestelmien, arkkitehtuurin ja palveluiden sisäänrakennettua turvallisuutta.

2.9

Eurooppa-neuvosto pyysi 19.–20. lokakuuta 2017 hyväksymään ehdotetun uudistuspaketin mukaisesti ”yhteisen lähestymistavan kyberturvallisuuteen: digitaalinen maailma edellyttää luottamusta, ja luottamus voidaan saavuttaa ainoastaan, jos varmistamme proaktiivisemman sisäänrakennetun turvallisuuden kaikissa digitaalipolitiikoissa, huolehdimme tuotteiden ja palvelujen riittävästä turvallisuussertifioinnista sekä lisäämme kykyämme ehkäistä, torjua ja havaita kyberhyökkäyksiä ja reagoida niihin” (5).

2.10

Euroopan parlamentti korosti 17. toukokuuta 2017 antamassaan päätöslauselmassa ”tarvetta toteuttaa aukoton turvallisuus rahoituspalveluiden koko arvoketjussa” ja viittasi ”kyberhyökkäysten aiheuttamiin suuriin ja monimuotoisiin riskeihin, kun hyökkäykset kohdistuvat rahoitusmarkkinoiden infrastruktuuriin, esineiden internetiin, valuuttoihin ja tietoihin”. Lisäksi se kehotti Euroopan valvontaviranomaisia ”tarkastelemaan säännöllisesti rahoituslaitosten tietotekniikkariskejä koskevia toiminnallisia standardeja” ja laatimaan jäsenvaltioiden kyberriskien valvontaa koskevat Euroopan valvontaviranomaisten suuntaviivat sekä korosti ”Euroopan valvontaviranomaisten teknisen taitotiedon merkitystä” (6).

2.11

ETSK on käsitellyt aihetta useaan otteeseen (7), muun muassa Tallinnan huippukokouksessa ja sähköisen hallinnon tulevaisuutta käsittelevässä konferenssissa (8), ja se on perustanut pysyvän valmisteluryhmän ”digitaalistrategia”.

3.   Komission ehdotukset

3.1

Kyberturvallisuuspaketti sisältää Euroopan aiempaa kyberturvallisuusstrategiaa (2013) tarkastelevan yhteisen tiedonannon sekä kyberturvallisuusasetuksen, joka keskittyy ENISAn uuteen toimeksiantoon ja ehdotettuun sertifiointikehykseen.

3.2

Strategia koostuu kolmesta pääosiosta: häiriönsietokyky (resilienssi), pelote ja kansainvälinen yhteistyö. Pelotetta käsittelevässä osassa keskitytään pääasiassa kyberrikollisuuskysymyksiin ja Budapestin yleissopimukseen, ja kansainvälistä yhteistyötä tarkastelevassa osassa käsitellään kyberpuolustusta, kyberdiplomatiaa ja yhteistyötä Naton kanssa.

3.3

Ehdotuksessa esitetään uusia aloitteita, kuten

vahvemman EU:n kyberturvallisuusviraston muodostaminen

EU:n laajuisen kyberturvallisuuden sertifiointijärjestelmän käyttöönotto

verkko- ja tietoturvadirektiivin ripeä täytäntöönpano.

3.4

Resilienssiä käsittelevässä osassa ehdotetaan kyberturvallisuuteen liittyviä toimia, jotka koskevat erityisesti markkinakysymyksiä, verkko- ja tietoturvadirektiiviä, nopeaa reagointia hätätilanteissa, EU:n toimivallan kehittymistä, koulutusta – myös kyberosaamisen ja kyberhygienian alalla – ja tietoisuuden lisäämistä.

3.5

Samaan aikaan kyberturvallisuusasetuksessa ehdotetaan EU:n kyberturvallisuuden sertifiointikehyksen luomista tieto- ja viestintätekniikan tuotteille ja palveluille.

3.6

Kyberturvallisuusasetuksessa ehdotetaan myös ENISAn roolin vahvistamista kyberturvallisuudesta vastaavana EU:n virastona ja pysyvän mandaatin myöntämistä. ENISAn nykyisten vastuiden lisäksi sen odotetaan vastaavan uusista tuki- ja koordinointitehtävistä, jotka liittyvät verkko- ja tietoturvadirektiivin täytäntöönpanoon, EU:n kyberturvallisuusstrategiaan, kyberturvallisuussuunnitelmaan, valmiuksien kehittämiseen, tietämykseen ja tiedottamiseen, tietoisuuden lisäämiseen, markkinoihin liittyviin tehtäviin, kuten standardisoinnin ja sertifioinnin tukemiseen, tutkimukseen ja innovointiin, yleiseurooppalaisiin kyberturvallisuusharjoituksiin ja eurooppalaisen CSIRT-verkoston (tietoturvaloukkauksiin reagoivat ja niitä tutkivat yksiköt) sihteeristöön.

4.   Yleistä

4.1    Taustaa: häiriönsietokyky (resilienssi)

4.1.1   Kyberturvallisuuden sisämarkkinat

Varmistamisvelvollisuus (duty of care): Yhteisessä tiedonannossa mainitun varmistamisvelvollisuusperiaatteen kehittäminen turvallisten elinkaariprosessien käyttöä varten on mielenkiintoinen käsite, jota on kehitettävä EU:n teollisuudessa. Tämä voisi johtaa laaja-alaiseen lähestymistapaan EU:n lainsäädännön noudattamisessa. Turvallisuutta olisi pohdittava oletusarvoisesti tulevassa kehitystyössä.

Vastuu: Sertifiointi helpottaa vastuuseen asettamista riitatapauksissa.

4.1.2

Verkko- ja tietoturvadirektiivi: energia, liikenne, pankit/rahoitus, terveys, vesihuolto, digitaalinen infrastruktuuri, verkkokauppa.

ETSK:n mukaan verkko- ja tietoturvadirektiivin täysipainoinen ja tehokas täytäntöönpano on ratkaisevan tärkeää, jotta voidaan varmistaa kriittisten kansallisten alojen häiriönsietokyky.

ETSK katsoo, että julkisten ja yksityisten toimijoiden välistä tiedonjakoa olisi vahvistettava alakohtaisilla tietojen jakamisen ja analysoinnin keskuksilla (ISAC). Nykyisin käytössä olevan mekanismin arvioinnin ja analyysin pohjalta olisi kehitettävä asianmukainen mekanismi, jolla tietoa voidaan jakaa turvallisesti ja luotettavasti ISAC-keskusten sisällä sekä niiden ja CSIRT-toimijoiden välillä.

4.1.3   Nopea reagointi hätätilanteessa

Suunnitelmaan perustuva lähestymistapa tarjoaisi tehokkaan prosessin EU- ja jäsenvaltiotason operatiivista reagointia varten laajamittaisten turvallisuuspoikkeamien tapauksessa. Komitea korostaa tarvetta ottaa yksityinen sektori mukaan toimiin. Myös toiminnalliseen reagointimekanismiin kuuluvien keskeisten palvelujen tarjoajat olisi otettava huomioon, koska ne voisivat antaa arvokasta tietoa uhkista ja/tai tukea uhkien ja laajamittaisten kriisien tunnistamisessa ja niihin vastaamisessa.

Yhteisessä tiedonannossa ehdotetaan kybertapahtumien sisällyttämistä EU:n kriisinhallintamekanismeihin. Vaikka ETSK ymmärtää yhteisten toimien ja yhteisvastuullisuuden tarpeen hyökkäyksen tapahtuessa, on pyrittävä ymmärtämään paremmin, kuinka tätä voitaisiin soveltaa, koska kyberuhkat leviävät yleensä maasta toiseen. Kansallisissa hätätilanteissa käytettyjä toimia voitaisiin hyödyntää vain osittain paikallisissa tarpeissa.

4.1.4   EU:n valmiuksien kehittäminen

Jotta EU voisi olla maailmanlaajuisesti aidosti kilpailukykyinen ja jotta voidaan luoda vakaa teknologiaperusta, on tärkeää luoda johdonmukaiset, pitkäaikaiset puitteet, jotka kattavat kaikki kyberturvallisuuden arvoketjun vaiheet. Tässä yhteydessä Euroopan alueellisten ekosysteemien välisen yhteistyön edistäminen on ratkaisevan tärkeää Euroopan kyberturvallisuuden arvoketjun kehittämiselle. ETSK suhtautuu myönteisesti ehdotukseen kyberturvallisuuden osaamisverkoston luomisesta.

Tämä verkosto voisi tukea Euroopan digitaalista itsemääräämisoikeutta kehittämällä kilpailukykyisen eurooppalaisen teollisuuspohjan ja vähentämällä riippuvuutta EU:n ulkopuolella kehitetystä taitotiedosta keskeisten teknologiavalmiuksien alalla, tarjoamalla teknisiä harjoituksia, seminaareja ja jopa tärkeää verkkohygieniakoulutusta ammattilaisille ja muille toimijoille sekä edistämällä kansallisten julkisen ja yksityisen sektorin organisaatioiden verkoston kehittämistä eurooppalaisten markkinoiden kehittämisen tukemiseksi sopimusperusteisen julkisen ja yksityisen sektorin kumppanuuden puitteissa tehdyn pohjalta. Sopimusperusteisen julkisen ja yksityisen sektorin kumppanuuden edistämisen tulisi johtaa sen optimointiin, mukauttamiseen tai laajentamiseen (kyberturvallisuutta koskeva puheenjohtajakolmikon (Viro, Bulgaria, Itävalta) työohjelma) luomalla kolmen osapuolen (komission, jäsenvaltioiden ja yritysten) yhteisyritys.

Jotta verkosto voisi olla tehokas ja saavuttaa tavoitteensa Euroopan tasolla, sen olisi nojauduttava hyvin määriteltyyn hallintojärjestelmään.

Verkostoa tukisi Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskus, joka yhdistäisi kaikki EU:ssa olevat nykyiset kansalliset osaamiskeskukset. EU:n osaamiskeskus koordinoisi ja hallinnoisi tutkimusta, kuten muissakin yhteisyrityksissä, ja mahdollistaisi Euroopan kyberturvallisuuden ekosysteemin tehokkaan kehityksen, mikä tukisi innovoinnin toteuttamista ja hyödyntämistä EU:ssa.

4.2    Taustaa: pelote

4.2.1

Kyberrikollisuuden torjuminen on tärkeimpiä painopisteitä sekä jäsenvaltioiden että Euroopan tasolla, ja se edellyttää voimakasta poliittista sitoutumista. Pelotetoimien olisi perustuttava julkisen ja yksityisen sektorin vahvaan kumppanuuteen, tehokkaaseen tiedonjakoon ja asiantuntemukseen sekä jäsenvaltioiden että Euroopan tasolla. Voitaisiin myös harkita mahdollisuutta laajentaa Europolin toimintaa kyberrikostutkintaan ja -valvontaan.

4.3    Taustaa: kansainvälinen yhteistyö

4.3.1

Luottamukseen perustuvan yhteistyön luominen ja ylläpitäminen kolmansien maiden kanssa kyberdiplomatian ja liikekumppanuuksien avulla on keskeisen tärkeää, jotta voidaan vahvistaa Euroopan kykyä estää laajamittaisia kyberhyökkäyksiä ja vastata niihin. EU:n olisi edistettävä yhteistyötä Yhdysvaltojen, Kiinan, Israelin, Intian ja Japanin kanssa. EU:n vientivalvonnan uudenaikaistamisessa olisi vältettävä ihmisoikeuksien loukkauksia ja teknologioiden väärinkäyttöä EU:n omaa turvallisuutta vastaan, mutta samalla olisi varmistettava, että EU:n teollisuus ei joudu epäedulliseen asemaan kolmansien maiden tarjonnan vuoksi. Olisi harkittava tilapäistä strategiaa liittymistä valmisteleville maille, jotta voidaan valmistella arkaluontoisten rajatylittävien tietojen vaihtoa. Tähän sisältyisi mahdollisuus osallistua tarkkailijana joihinkin ENISA-maiden toimiin. Maat olisi asetettava paremmuusjärjestykseen sen perusteella, kuinka halukkaita ne ovat torjumaan kyberrikollisuutta, ja tarvittaessa voitaisiin laatia musta lista.

4.3.2

ETSK suhtautuu myönteisesti kyberpuolustuksen käyttöönottamiseen mahdollisesti perustettavan EU:n kyberturvallisuuden osaamiskeskuksen suunnitellussa toisessa vaiheessa. Näin ollen Eurooppa voisi tällä välin tarkastella monikäyttöisten valmiuksien kehittämistä, mihin kuuluisi Euroopan puolustusrahaston vauhdittaminen ja suunnitellun kyberpuolustuksen harjoittelu- ja koulutusalustan perustaminen vuoteen 2018 mennessä. Ottaen huomioon kummankin osapuolen tunnustamat mahdollisuudet ja uhkat ETSK pitää välttämättömänä kehittää EU:n ja Naton yhteistyötä, ja eurooppalaisen teollisuuden olisi myös seurattava tiiviisti EU:n ja Naton yhteistyön tulevaa kehitystä kyberturvallisuuden standardien yhteentoimivuuden alalla samoin kuin muita yhteistyömuotoja, jotka liittyvät kyberpuolustusta koskevaan EU:n lähestymistapaan.

4.4    EU:n sertifiointikehys

4.4.1

ETSK katsoo, että EU:n on vastattava kyberturvallisuuden hajanaisuuden aiheuttamaan haasteeseen edistämällä sääntöjen yhdenmukaista tulkintaa ja jäsenvaltioiden välistä vastavuoroista tunnustamista yhdenmukaisissa puitteissa digitaalisten sisämarkkinoiden turvaamisen helpottamiseksi. Sertifiointikehys voisi tarjota yhteisen perustan (ja tarvittaessa korkeamman tason erityiset säännökset), varmistaa vertikaalisten alojen synergiat ja vähentää nykyistä hajanaisuutta.

4.4.2

ETSK suhtautuu myönteisesti EU:n kyberturvallisuuden sertifiointikehyksen ja eri alojen sertifiointijärjestelmien luomiseen asianmukaisten vaatimusten pohjalta ja yhteistyössä tärkeimpien sidosryhmien kanssa. Markkinoilletuontiaika ja sertifiointikustannukset sekä laatu ja turvallisuus ovat kuitenkin keskeisiä osatekijöitä, jotka on otettava huomioon. Sertifiointijärjestelmiä perustetaan turvallisuuden parantamiseksi nykyisten tarpeiden ja uhkia koskevan tiedon perusteella. Tarvittavien päivitysten mahdollistamiseksi olisi otettava huomioon järjestelmien joustavuus ja kehittämiskapasiteetti. Eri aloilla on sovellettava erilaisia lähestymistapoja niiden toimintatavan vuoksi. Sen vuoksi ETSK katsoo, että alakohtaiset EU:n virastot (Euroopan lentoturvallisuusvirasto, Euroopan pankkiviranomainen, EU:n rautatievirasto, Euroopan lääkevirasto jne.) olisi otettava mukaan prosessiin ja eräissä tapauksissa niiden tehtäväksi olisi annettava laatia kyberturvallisuusjärjestelmiä ENISAn suostumuksella, jotta vältetään päällekkäisyyksiä ja johdonmukaisuuden puutetta.

4.4.3

Komitea katsoo olevan tärkeää, että sertifiointikehys perustuu yhteisesti määriteltyihin eurooppalaisiin ja mahdollisuuksien mukaan kansainvälisesti tunnustettuihin kyberturvallisuus- ja tieto- ja viestintätekniikkastandardeihin. Aikataulua ja kansallista toimivaltaa ajatellen tietotekniikan turvallisuuden eurooppalaiset vähimmäisvaatimukset olisi hyväksyttävä yhteistyössä Euroopan standardointikomitean (CEN), Euroopan sähkötekniikan standardointijärjestön (Cenelec) ja eurooppalaisen telealan standardoimisjärjestön (ETSI) kanssa. Ammatillisiin vaatimuksiin olisi suhtauduttava myönteisesti, mutta niiden ei pitäisi olla oikeudellisesti sitovia tai estää kilpailua.

4.4.4

On selvää, että vastuun on oltava yhteydessä eri varmuustasoihin uhkien vaikutuksen pohjalta. Vuoropuhelun käynnistäminen vakuutusyhtiöiden kanssa voisi edistää tehokkaiden kyberturvallisuusvaatimusten hyväksymistä sovellusalan mukaisesti. ETSK:n mielestä korkeaan varmuustasoon pyrkiviä yrityksiä olisi tuettava ja kannustettava etenkin kriittisten laitteiden ja järjestelmien osalta.

4.4.5

Ottaen huomioon direktiivin 85/374/ETY (9) hyväksymisestä kuluneen ajan ja viimeaikaisen teknologisen kehityksen ETSK kehottaa komissiota pohtimaan, olisiko aiheellista sisällyttää eräät tässä asetusehdotuksessa kaavaillut skenaariot direktiivin soveltamisalaan, jotta voidaan tuottaa turvallisempia tuotteita ja varmistaa korkeatasoinen suojelu.

4.4.6

ETSK katsoo, että ENISAn tukeman kaavaillun Euroopan kyberturvallisuuden sertifiointiryhmän olisi koostuttava kansallisista sertifioinnin valvontaelimistä, yksityisen sektorin sidosryhmistä ja eri sovellusalojen toimijoista, jotta voidaan varmistaa laaja-alaisten sertifiointijärjestelmien kehittäminen. Lisäksi olisi suunniteltava tämän ryhmän ja EU:n /ETA:n alakohtaisten järjestöjen (esim. sopimusperusteinen julkisen ja yksityisen sektorin kumppanuus, pankkiala, liikenne, energia, ammattiliitot) välistä yhteistyötä nimittämällä asiantuntijoita. Ryhmän olisi kyettävä tarkastelemaan EU:n saavutuksia sertifioinnissa (pääasiassa johtavien virkamiesten tietoturvallisuusryhmän – SOG-IS – vastavuoroista tunnustamista koskevan sopimuksen sekä kansallisten ja yksityisten järjestelmien perusteella) ja pyrittävä säilyttämään Euroopan kilpailuedut.

4.4.7

ETSK ehdottaa, että tälle sidosryhmien liittymälle olisi annettava vastuu sertifiointijärjestelmien valmistelusta yhdessä Euroopan komission kanssa. Alakohtaiset vaatimukset tulisi myös määritellä sopimalla niistä yhteisesti julkisen ja yksityisen sektorin sidosryhmien (käyttäjien ja toimittajien) välillä.

4.4.8

Lisäksi ryhmän olisi tarkistettava sertifiointijärjestelmiä säännöllisesti, pohdittava kunkin alan vaatimuksia ja mukautettava järjestelmiä tarvittaessa.

4.4.9

ETSK kannattaa kansallisten sertifiointijärjestelmien lakkauttamista, kun eurooppalainen järjestelmä otetaan käyttöön, kuten asetuksen 49 artiklassa ehdotetaan. Sisämarkkinat eivät voi toimia erilaisten, keskenään kilpailevien kansallisten sääntöjen voimassa ollessa. Sen vuoksi ETSK ehdottaa kaikkien kansallisten järjestelmien kartoittamista.

4.4.10

ETSK ehdottaa, että komissio käynnistää toimet kyberturvallisuuden sertifioinnin ja sertifikaattien edistämiseksi EU:ssa ja tukee niiden tunnustamista kaikissa kansainvälisissä kauppasopimuksissa.

4.5    ENISA

4.5.1

ETSK katsoo, että komission ehdottama ENISAn uusi pysyvä mandaatti edistää merkittävästi eurooppalaisten järjestelmien resilienssin vahvistamista. Uudistetulle ENISAlle myönnetty alustava talousarvio ja resurssit eivät ehkä kuitenkaan riitä toimeksiannon suorittamiseen.

4.5.2

ETSK kehottaa kaikkia jäsenvaltioita perustamaan selkeän vastineen ENISAlle, koska useimmat eivät ole vielä tehneet sitä. Olisi edistettävä jäsenneltyä ohjelmaa kansallisten asiantuntijoiden lähettämiseksi ENISAan, jotta voidaan tukea parhaiden käytäntöjen vaihtoa ja vahvistaa luottamusta. Lisäksi komitea kehottaa komissiota varmistamaan, että nykyiset hyvät käytännöt ja jäsenvaltioissa käytössä olevat tehokkaat toimenpiteet kartoitetaan ja tieto niistä jaetaan.

4.5.3

ETSK katsoo myös, että valmiuksien kehittämisessä ENISAn olisi asetettava etusijalle toimet, joilla tuetaan sähköistä hallintoa (10). Henkilöiden, organisaatioiden, yritysten ja esineiden eurooppalainen tai maailmanlaajuinen digitaalinen identiteetti on keskeisen tärkeä, ja identiteettivarkauksien sekä verkkopetosten estäminen ja torjuminen sekä teollis- ja tekijänoikeuksien varkauksien torjuminen olisi asetettava etusijalle.

4.5.4

ENISAn olisi myös laadittava säännöllisesti raportteja jäsenvaltioiden valmiudesta torjua kyberuhkia (cyber readiness) ja keskityttävä pääasiassa verkko- ja tietoturvadirektiivin liitteessä II mainittuihin aloihin. Vuosittaisessa yleiseurooppalaisessa kyberharjoituksessa olisi arvioitava jäsenvaltioiden valmiuksia ja kyberturvallisuuskriisejä koskevan eurooppalaisen reagointimekanismin tehokkuutta sekä annettava suosituksia.

4.5.5

ETSK on huolestunut siitä, että resurssit ovat liian niukat operatiivisen yhteistyön kannalta CSIRT-verkosto mukaan lukien.

4.5.6

Markkinoihin liittyvien tehtävien osalta ETSK katsoo, että jäsenvaltioiden kanssa tehtävän yhteistyön vauhdittaminen ja kyberturvallisuudesta vastaavien virastojen virallisen verkoston perustaminen auttaisi tukemaan yhteistyötä sidosryhmien parissa (11). Markkinoilletuontiaika on hyvin lyhyt ja kriittinen EU:n yrityksille, jotta ne voisivat kilpailla tällä alalla, ja ENISAn on kyettävä reagoimaan sen mukaisesti. ETSK katsoo, että EU:n muiden virastojen tavoin ENISA voisi tulevaisuudessa soveltaa maksujen muodostamaa järjestelmää. ETSK on huolestunut siitä, että EU:n ja kansallisten virastojen välinen kilpailu toimivallasta voisi viivästyttää EU:n sääntelypuitteiden asianmukaista toteuttamista ja vahingoittaa EU:n sisämarkkinoita, kuten muilla aloilla on tapahtunut.

4.5.7

ETSK panee merkille, että tutkimukseen ja innovointiin sekä kansainväliseen yhteistyöhön liittyvät tehtävät ovat nykyisin vähäisiä.

4.5.8

ETSK katsoo, että kyberturvallisuudesta olisi keskusteltava säännöllisesti oikeus- ja sisäasioiden alan virastojen yhteisissä säännönmukaisissa kokouksissa ja että ENISAn ja Europolin olisi tehtävä säännöllistä yhteistyötä.

4.5.9

Koska kybermaailma on hyvin innovatiivinen, standardeja on harkittava huolellisesti, jotta vältetään innovoinnin estyminen. Tämä edellyttää dynaamisia puitteita. Yhteentoimivuus sekä aiempien että myöhempien järjestelmien kanssa olisi varmistettava mahdollisimman pitkälle, jotta voidaan suojella sekä kansalaisten että yritysten investointeja.

4.5.10

Kansallisten sertifiointialan valvontaviranomaisten merkityksen vuoksi ETSK ehdottaa, että asetuksella luotaisiin jo viranomaisten virallinen verkosto, joka voisi ratkaista rajatylittäviä kysymyksiä ENISAn tuella. Verkosto voisi myöhemmin yhdistyä yhdeksi virastoksi.

4.5.11

Luottamus on ensiarvoisen tärkeää, mutta ENISA ei voi antaa päätöksiä tai tarkastuskertomuksia. ETSK:n mielestä viraston olisi valvottava kansallisten sertifiointialan valvontaviranomaisten toimintaa ja päätöksentekoa tekemällä tarkastuksia komission puolesta.

4.5.12

Teollisuuden ja kuluttajajärjestöjen olisi voitava osallistua ENISAn johtokuntaan tarkkailijoina.

4.6    Teollisuus, pk-yritykset, rahoitus/investoinnit ja innovatiiviset liiketoimintamallit

4.6.1   Teollisuus ja investoinnit

Tieto- ja viestintätekniikan alalla toimivien eurooppalaisten yritysten maailmanlaajuisen kilpailukyvyn lisäämiseksi on toteutettava toimia, joilla voidaan tukea alan teollisuuden kasvua ja kilpailukykyä aiempaa paremmin. Tämä koskee myös pk-yrityksiä.

EU:n olisi lisättävä investointeja suuntaamalla EU:n eri rahastoja, kansallisia rahastoja ja yksityisen sektorin investointeja kohti strategisia tavoitteita julkisen ja yksityisen sektorin vankan yhteistyön puitteissa. Investointeja kriittisille aloille olisi lisättävä ja tuettava perustamalla nykyisessä ja tulevassa tutkimuksen puiteohjelmassa EU:n kyberturvallisuusrahasto innovointia sekä tutkimusta ja kehitystä varten. Lisäksi unionin olisi perustettava rahasto kyberturvallisuuden toteuttamista varten ja avattava uusi rahoitusmahdollisuus nykyisessä ja tulevassa Verkkojen Eurooppa -välineessä sekä seuraavassa ESIR 3.0 -rahastossa.

EU:n jäsenvaltioille olisi luotava kannustimia, jota ne hankkisivat eurooppalaisia ratkaisuja ja valitsisivat eurooppalaisia toimittajia aina kun se on mahdollista ja etenkin arkaluontoisten sovellusten kohdalla. EU:n olisi tuettava eurooppalaisten kyberturvallisuusalan edelläkävijöiden kasvua, jotta nämä olisivat kilpailukykyisiä maailmanlaajuisilla markkinoilla.

4.6.2   PK-YRITYKSET

Markkinoiden hajanaisuuden vuoksi markkinoille pääsy edellyttää lisää tietoa asiakkaiden tarpeista. Ilman jäsenneltyä kysyntää pk-yritykset ja startup-yritykset eivät voi kasvaa nopeasti. Tässä yhteydessä kyberturvallisuuden eurooppalaisen pk-keskuksen perustaminen olisi myönteistä.

Kyberturvallisuusteknologia muuttuu nopeasti, ja joustavuutensa vuoksi pk-yritykset voivat tarjota edistyneitä ratkaisuja, joita tarvitaan kilpailukyvyn säilyttämiseksi. Kolmansiin maihin verrattuna EU on yhä etsimässä asianmukaista liiketoimintamallia pk-yrityksille.

Voitaisiin laatia erityisesti startup-yrityksille ja pk-yrityksille suunnattuja järjestelmiä sertifiointikustannusten kattamiseksi, jotta voitaisiin helpottaa niiden vaikeuksia teknologiseen ja kaupalliseen kehittämiseen tarvittavien varojen löytämisessä.

4.7    Inhimillinen tekijä: koulutus ja suojelu

4.7.1

ETSK toteaa, että komission ehdotuksessa ei kiinnitetä riittävästi huomiota ihmisten rooliin digitaalisten prosessien käynnistäjinä joko edunsaajina tai merkittävien kybertapahtumien aiheuttajina.

4.7.2

Sekä yksittäisille ihmisille että yrityksille on luotava vahva kyberosaamispohja ja parannettava verkkohygieniaa ja tietoisuutta kyberturvallisuudesta. Jotta tähän päästäisiin, olisi harkittava erityisiä investointeja, korkeatasoisten ohjaajien kouluttamista ja tehokkaita tiedotuskampanjoja. Näiden kolmen toimintalinjan toteuttaminen edellyttää koulutusohjelmien perustamisesta ja rahoittamisesta vastaavien valtio- ja aluetason viranomaisten sekä yritysten ja pk-yritysten yhteistä osallistumista.

4.7.3

Olisi harkittava mahdollisesti EU-sertifioidun opetusohjelman perustamista kouluille ja ammattilaisille niin, että ENISA ja vastaavat kansalliset elimet osallistuvat hankkeeseen aktiivisesti. Lisäksi on otettava huomioon sukupuolten tasa-arvo kehitettäessä koulutusohjelmia, joiden tarkoituksena on parantaa työllisyyttä kyberturvallisuuden alalla.

4.7.4

ETSK katsoo, että sertifiointiprosessiin tulee sisältyä asianmukainen merkintäjärjestelmä sekä laitteistolle että ohjelmistolle, kuten on monien muidenkin tuotteiden tapauksessa (esim. energiatuotteet). Tämä väline tuottaa kolminkertaista hyötyä, koska se vähentää yritysten kustannuksia, korjaa kansallisella tasolla vahvistettujen erilaisten sertifiointijärjestelmien aiheuttamaa markkinoiden hajanaisuutta ja edistää kuluttajien tietämystä hankittavan tuotteen laadusta ja ominaisuuksista. Tässä yhteydessä on tärkeää, että EU:n ulkopuolisista maista tuotuja tuotteita koskevat samat sertifiointi- ja merkintämenetelmät. Lopuksi ETSK katsoo, että tilapäisen logon käyttöönotto voisi olla tehokas tapa tiedottaa välittömästi kuluttajille ja käyttäjille hankittujen tuotteiden, verkkokaupan sivustojen tai arkaluontoisia tietoja välittävien sivustojen luotettavuudesta.

4.7.5

ENISAn olisi johdettava keskeisiä monitasoisia tiedotus- ja valistustoimia, jotta voitaisiin lisätä tietämystä ”turvallisesta” verkkokäyttäytymisestä ja käyttäjien luottamusta internetiin. Tätä varten on otettava mukaan liike-elämän järjestöjä, kuluttajajärjestöjä ja muita digitaalipalvelujen alan elimiä.

4.7.6

Kuten asiakokonaisuuteen INT/828 kuuluvassa lausunnossa on jo ehdotettu, ETSK katsoo, että kyberturvallisuusasetuksen lisäksi on tärkeää käynnistää mahdollisimman pian mittava Euroopan laajuinen digitaalisen koulutuksen ohjelma, joka tarjoaa kaikille digitaaliseen siirtymään tarvittavat välineet. ETSK on tietoinen asiaan liittyvästä kansallisesta toimivallasta, mutta se toivoo kuitenkin, että ohjelma aloitetaan oppilaitoksista ja että sen avulla parannetaan opetushenkilöstön tietämystä, mukautetaan opetusohjelmia ja opetusmenetelmiä digitaaliteknologioihin (verkko-oppiminen mukaan lukien) ja tarjotaan kaikille opiskelijoille korkeatasoista koulutusta. Tällaisen ohjelman luonnollisena jatkeena on elinikäinen oppiminen, jotta kaikkien työntekijöiden osaamista voidaan mukauttaa tai ajantasaistaa (12).

5.   Erityistä

5.1    Kehittyvät teknologiat ja ratkaisut: esineiden internet

Verkkoon liitettyjen laitteiden määrä kasvaa jatkuvasti, ja osien, järjestelmien ja ratkaisujen digitalisoinnin ja parantuneiden yhteyksien vuoksi niiden odotetaan saavuttavan moninkertaisesti maapallolla elävien ihmisten määrän. Tämä suuntaus luo uusia mahdollisuuksia kyberrikollisille etenkin, koska esineiden internetin laitteet eivät ole niin hyvin suojattuja kuin perinteiset laitteet.

Eurooppalaisten turvallisuusstandardien käyttöönotto esineiden internetiä käyttävillä vertikaalisilla tuotannonaloilla voi vähentää kehittämiseen käytettyä vaivaa, aikaa ja varoja kaikilta teollisuuden toimijoilta verkkoon liitettyjen tuotteiden arvoketjussa.

Jonkinlainen vähimmäisturvallisuustaso on todennäköisesti tarpeen ”ihmisten internetin””tavanomaisille” laitteille. Tässä yhteydessä voidaan hyödyntää IDAM-menetelmää (Identity and Access Management), paikkausta (patching) ja laitteiden hallinnointia. Koska sertifiointi on keskeinen menetelmä, jolla parannetaan turvallisuustasoa, esineiden internetin turvallisuudelle olisi annettava lisää painoa EU:n uudessa lähestymistavassa sertifiointiin.

Bryssel 14. helmikuuta 2018.

Euroopan talous- ja sosiaalikomitean puheenjohtaja

Georges DASSIS


(1)  Digitaaliset sisämarkkinat – väliarviointi.

(2)  JOIN(2017) 450 final.

(3)  Komission yksiköiden valmisteluasiakirja – Vaikutustenarviointi, joka liittyy ehdotukseen Euroopan parlamentin ja neuvoston direktiiviksi, osa 1/6, s. 21, Bryssel 13.9.2017.

(4)  Erityiseurobarometri 464a – Wave EB87.4 – Eurooppalaisten asenteet kyberturvallisuuteen, syyskuu 2017.

(5)  Eurooppa-neuvoston päätelmät, 19. lokakuuta 2017.

(6)  Euroopan parlamentin päätöslauselma 17.5.2017 – A8-0176/2017.

(7)  Digitaaliset sisämarkkinat – väliarviointi; EUVL C 75, 10.3.2017, s. 124; EUVL C 246, 28.7.2017, s. 8; EUVL C 345, 13.10.2017, s. 52; EUVL C 288, 31.8.2017, s. 62; EUVL C 271, 19.9.2013, s. 133.

(8)  ETSK:n lehdistötiedote N:o 31/2017: Civil Society debates E-government and cybersecurity with incoming Estonian Presidency https://www.eesc.europa.eu/en/news-media/press-releases/civil-society-debates-e-government-and-cybersecurity-incomingestonian-presidency

(9)  EYVL L 210, 7.8.1985, s. 29.

(10)  Digitaaliset sisämarkkinat – väliarviointi.

(11)  EUVL C 75, 10.3.2017, s. 124.

(12)  Digitaaliset sisämarkkinat – väliarviointi.