FI

Euroopan talous- ja sosiaalikomitea

TEN/646

Kyberturvallisuusasetus

LAUSUNTO

”Liikenne, energia, perusrakenteet, tietoyhteiskunta” -erityisjaosto

Ehdotus – Euroopan parlamentin ja neuvoston asetus EU:n kyberturvallisuusvirastosta ENISAsta ja asetuksen (EU) 526/2013 kumoamisesta sekä tieto- ja viestintätekniikan kyberturvallisuussertifioinnista (”kyberturvallisuusasetus”)

[COM(2017) 477 final/2 2017/0225 (COD)]

Hallintovirkamies

Cédric CABANNE

Asiakirjan päivämäärä

08/02/2018

Esittelijä: Alberto Mazzola

Toinen esittelijä: Antonio Longo

Lausuntopyyntö

Euroopan parlamentti,

Euroopan unionin neuvosto, 25/10/2017

Oikeusperusta

Euroopan unionin toiminnasta tehdyn sopimuksen 114 artikla

Vastaava erityisjaosto

”liikenne, energia, perusrakenteet, tietoyhteiskunta”

Hyväksyminen erityisjaostossa

05/02/2018

Hyväksyminen täysistunnossa

Täysistunnon numero

Äänestystulos
(puolesta / vastaan / pidättyi äänestämästä)



1.Päätelmät ja suositukset

1.1ETSK katsoo, että komission ehdottama Euroopan unionin verkko- ja tietoturvaviraston (ENISA) uusi pysyvä mandaatti edistää merkittävästi eurooppalaisten järjestelmien resilienssin vahvistamista. ENISAlle myönnetty alustava talousarvio ja resurssit eivät kuitenkaan riitä virastolle annetun toimeksiannon suorittamiseen.

1.2ETSK kehottaa kaikkia jäsenvaltioita perustamaan selkeän vastineen ENISAlle, koska useimmat eivät ole vielä tehneet sitä.

1.3ETSK katsoo myös, että valmiuksien kehittämisessä ENISAn olisi asetettava etusijalle toimet, joilla tuetaan sähköistä hallintoa 1 . Henkilöiden, organisaatioiden ja esineiden eurooppalainen tai maailmanlaajuinen digitaalinen identiteetti on keskeisen tärkeä, ja etusijalle olisi asetettava identiteettivarkauksien sekä verkkopetosten estäminen ja torjuminen.

1.4ETSK suosittaa, että ENISAn olisi annettava säännöllisesti raportteja jäsenvaltioiden valmiudesta torjua kyberuhkia (cyber readiness) ja keskityttävä pääasiassa verkko- ja tietoturvadirektiivin liitteessä II mainittuihin aloihin. Vuosittaisessa yleiseurooppalaisessa kyberharjoituksessa olisi arvioitava jäsenvaltioiden valmiuksia ja kyberturvallisuuskriisejä koskevan eurooppalaisen reagointimekanismin tehokkuutta sekä annettava suosituksia.

1.5ETSK kannattaa ehdotusta kyberturvallisuuden osaamisverkoston luomisesta. Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskus vastaisi tästä verkostosta. Verkosto voisi tukea Euroopan digitaalista itsemääräämisoikeutta kehittämällä kilpailukykyisen eurooppalaisen teollisen perustan keskeiselle teknologiaosaamiselle julkisen ja yksityisen sektorin sopimusperusteisen kumppanuuden pohjalta, ja sen olisi kehityttävä kolmen osapuolen yhteisyritykseksi.

1.6Inhimillinen tekijä on yksi kyberturvallisuuspoikkeamien tärkeimmistä syistä. ETSK katsoo, että on luotava vahva kyberosaamispohja ja parannettava kyberhygieniaa myös yksittäisille ihmisille ja yrityksille suunnatuilla tiedotuskampanjoilla. ETSK kannattaa EU-sertifioidun opetussuunnitelman luomista kouluille ja ammattilaisille.

1.7ETSK katsoo, että Euroopan digitaaliset sisämarkkinat edellyttävät kyberturvallisuussääntöjen yhdenmukaista tulkintaa ja niiden vastavuoroista tunnustamista jäsenvaltioissa ja että sertifiointikehys ja eri alojen sertifiointijärjestelmät voisivat tarjota tälle yhteisen perustan. Eri aloilla on kuitenkin sovellettava erilaisia lähestymistapoja niiden toimintatavan vuoksi. ETSK katsookin, että EU:n alakohtaiset virastot (Euroopan lentoturvallisuusvirasto, Euroopan unionin rautatievirasto, Euroopan lääkevirasto jne.) olisi otettava mukaan prosessiin ja eräissä tapauksissa niiden tehtäväksi olisi annettava laatia kyberturvallisuusjärjestelmiä, minkä olisi tapahduttava ENISAn suostumuksella johdonmukaisuuden varmistamiseksi. Tietotekniikan turvallisuuden eurooppalaiset vähimmäisvaatimukset olisi hyväksyttävä yhteistyössä Euroopan standardointikomitean (CEN), Euroopan sähkötekniikan standardointijärjestön (Cenelec) ja eurooppalaisen telealan standardoimisjärjestön (ETSI) kanssa.

1.8ENISAn tukeman Euroopan kyberturvallisuuden sertifiointiryhmän olisi koostuttava kansallisista sertifioinnin valvontaelimistä, yksityisen sektorin sidosryhmistä ja eri sovellusalojen toimijoista sekä tiedemaailman ja kansalaisyhteiskunnan toimijoista.

1.9ETSK katsoo, että viraston olisi valvottava kansallisten sertifiointialan valvontaviranomaisten toimintaa ja päätöksentekoa tekemällä tarkastuksia komission puolesta ja että vastuut ja seuraamukset standardien noudattamatta jättämisestä olisi määriteltävä asetuksessa.

1.10ETSK katsoo, että sertifiointitoimintaan kuuluu myös asianmukainen merkintäjärjestelmä, jota on sovellettava myös tuontituotteisiin kuluttajien luottamuksen vahvistamiseksi.

1.11Euroopan olisi lisättävä investointeja suuntaamalla EU:n eri rahastoja, kansallisia rahastoja ja yksityisen sektorin investointeja kohti strategisia tavoitteita julkisen ja yksityisen sektorin vankan yhteistyön puitteissa sekä myös perustamalla nykyisessä ja tulevassa tutkimuksen puiteohjelmassa EU:n kyberturvallisuusrahasto innovointia sekä tutkimusta ja kehitystä varten. Lisäksi unionin olisi perustettava rahasto kyberturvallisuuden toteuttamista varten ja avattava uusi rahoitusmahdollisuus nykyisessä ja tulevassa Verkkojen Eurooppa -välineessä sekä seuraavassa ESIR 3.0 -rahastossa.

1.12ETSK katsoo, että vähimmäisturvallisuustaso on tarpeen ”ihmisten internetin” ”tavanomaisille” laitteille. Tässä tapauksessa sertifiointi on keskeinen menetelmä turvallisuustason korottamiseksi. Esineiden internetin turvallisuus olisi asetettava etusijalle.

2.Kyberturvallisuuden nykyinen kehys

2.1Kyberturvallisuus on ratkaisevan tärkeää vauraudelle, kansalliselle turvallisuudelle sekä demokratioidemme, vapauksiemme ja arvojemme toiminnalle. YK:n Global Cybersecurity Index  ‑asiakirjassa todetaan, että kyberturvallisuus on ekosysteemi, jossa lakien, organisaatioiden, osaamisen, yhteistyön ja teknisen toteutuksen on oltava sopusoinnussa, jotta se toimisi mahdollisimman tehokkaasti, ja että kyberturvallisuus on yhä tärkeämmässä asemassa eri maiden päättäjien pohdinnoissa.

2.2Turvallisen ekosysteemin tarve on yhä tärkeämpää internet-vallankumouksen vuoksi. Tämä vallankumous on määritellyt uudelleen yrittäjien ja kuluttajien väliset alat kuten median, vähittäiskaupan ja rahoituspalvelut. Niiden lisäksi se vaikuttaa myös valmistusteollisuuteen, energiaan, maatalouteen, liikenteeseen ja muihin talouden teollisuusaloihin, jotka yhdessä kattavat lähes kaksi kolmannesta koko maailman bruttokansantuotteesta, sekä palvelujen infrastruktuuriin ja ihmisten vuorovaikutukseen julkishallinnon kanssa.

2.3Digitaalisten sisämarkkinoiden strategiaan kuuluu tavaroiden, palvelujen ja sisällön saatavuuden parantaminen, asianmukaisten oikeudellisten puitteiden luominen digitaalisille verkoille ja palveluille sekä datavetoisen talouden etujen hyödyntäminen. On arvioitu, että strategia voisi tuoda EU:n talouteen vuosittain 415 miljardia euroa. Yksityisellä sektorilla työskentelevien kyberturvallisuusalan ammattilaisten vajeen arvioidaan olevan 350 000 henkilöä vuoteen 2022 mennessä. 2

2.4Vuonna 2014 tehdyssä tutkimuksessa arvioitiin, että kyberrikollisuuden taloudelliset vaikutukset EU:ssa olivat 0,41 prosenttia EU:n bkt:stä (eli noin 55 miljardia euroa) vuonna 2013. 3

2.5Eurooppalaisten asenteita kyberturvallisuuteen käsittelevän erityiseurobarometrin 464a mukaan 73 prosenttia internetin käyttäjistä on huolissaan siitä, että verkkopalveluissa olevat henkilötiedot eivät ehkä ole turvassa verkkosivustoilla ja 65 prosenttia siitä, että viranomaiset eivät ehkä pidä niitä turvassa. Useimmat vastaajat ovat huolestuneita joutumisesta erilaisten kyberrikollisuuden uhreiksi ja erityisesti laitteisiin tulevista haittaohjelmista (69 prosenttia), identiteettivarkauksista (69 prosenttia) sekä pankkikortti- ja verkkopankkipetoksista (66 prosenttia). 4

2.6Toistaiseksi mikään oikeudellinen kehys ei ole pysynyt digitaalisen innovoinnin tahdissa, ja monet oikeudelliset tekstit vaikuttavat yksi kerrallaan asianmukaisten puitteiden luomiseen: televiestintäsäännöstön tarkistus, yleinen tietosuoja-asetus, verkko- ja tietoturvadirektiivi, asetus sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla (eIDAS-asetus), EU:n ja Yhdysvaltojen Privacy Shield ‑järjestely, muihin maksuvälineisiin kuin käteisrahaan liittyviä petoksia koskeva direktiivi jne.

2.7ENISAn eli ”EU:n kyberturvallisuusviraston” lisäksi on olemassa monia erilaisia organisaatioita, jotka käsittelevät kyberturvallisuuteen liittyviä kysymyksiä: Europol, EU:n toimielinten ja virastojen tietotekniikan kriisiryhmä (CERT-EU), EU:n tiedusteluanalyysikeskus (INTCEN), vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaava eurooppalainen virasto (eu-LISA), tietojen jakamisen ja analysoinnin alakohtaiset keskukset (ISAC), Euroopan kyberturvallisuusorganisaatio (ECSO), Euroopan puolustusvirasto (EDA), Naton kyberpuolustuksen osaamiskeskus ja tieto- ja televiestintätekniikan kehitystä kansainvälisen turvallisuuden yhteydessä käsittelevä YK:n hallitusten asiantuntijaryhmä (UN CGE).

2.8Sisäänrakennettu turvallisuus on keskeinen tekijä, jonka avulla voidaan tarjota korkealaatuisia tavaroita ja palveluja. Älylaitteet eivät ole kovin älykkäitä elleivät ne ole turvallisia, ja sama pätee älykkäisiin autoihin, kaupunkeihin ja sairaaloihin. Kaikki nämä edellyttävät laitteiden, järjestelmien, arkkitehtuurin ja palveluiden sisäänrakennettua turvallisuutta.

2.9Eurooppa-neuvosto pyysi 19.–20. lokakuuta 2017 hyväksymään ehdotetun uudistuspaketin mukaisesti ”yhteisen lähestymistavan kyberturvallisuuteen: digitaalinen maailma edellyttää luottamusta, ja luottamus voidaan saavuttaa ainoastaan, jos varmistamme proaktiivisemman sisäänrakennetun turvallisuuden kaikissa digitaalipolitiikoissa, huolehdimme tuotteiden ja palvelujen riittävästä turvallisuussertifioinnista sekä lisäämme kykyämme ehkäistä, torjua ja havaita kyberhyökkäyksiä ja reagoida niihin”. 5

2.10Euroopan parlamentti korosti 17. toukokuuta 2017 annetussa päätöslauselmassaan ”tarvetta toteuttaa aukoton turvallisuus rahoituspalveluiden koko arvoketjussa”, ja viittasi ”kyberhyökkäysten aiheuttamiin suuriin ja monimuotoisiin riskeihin, kun hyökkäykset kohdistuvat rahoitusmarkkinoiden infrastruktuuriin, esineiden internetiin, valuuttoihin ja tietoihin”. Lisäksi se kehotti Euroopan valvontaviranomaisia ”tarkastelemaan säännöllisesti rahoituslaitosten tietotekniikkariskejä koskevia toiminnallisia standardeja” ja laatimaan jäsenvaltioiden kyberriskien valvontaa koskevat Euroopan valvontaviranomaisten suuntaviivat sekä korosti ”Euroopan valvontaviranomaisten teknisen taitotiedon merkitystä”. 6

2.11ETSK on käsitellyt aihetta useaan otteeseen 7 muun muassa Tallinnan huippukokouksessa ja sähköisen hallinnon tulevaisuutta ja kyberturvallisuutta käsittelevässä konferenssissa 8 , ja se on perustanut pysyvän valmisteluryhmän ”digitaalistrategia”.

3.Komission ehdotukset

3.1Kyberturvallisuuspaketti sisältää Euroopan aiempaa kyberturvallisuusstrategiaa (2013) tarkastelevan yhteisen tiedonannon sekä kyberturvallisasetuksen, joka keskittyy ENISAn uuteen toimeksiantoon ja ehdotettuun sertifiointikehykseen.

3.2Strategia koostuu kolmesta pääosiosta: häiriönsietokyky (resilienssi), pelote ja kansainvälinen yhteistyö. Pelotetta käsittelevässä osassa keskitytään pääasiassa kyberrikollisuuskysymyksiin ja Budapestin yleissopimukseen, ja kansainvälistä yhteistyötä tarkastelevassa osassa käsitellään kyberpuolustusta, kyberdiplomatiaa ja yhteistyötä Naton kanssa.

3.3Ehdotuksessa esitetään uusia aloitteita, kuten

-vahvemman EU:n kyberturvallisuusviraston muodostaminen

-EU:n laajuisen kyberturvallisuuden sertifiointijärjestelmän käyttöönotto

-verkko- ja tietoturvadirektiivin ripeä täytäntöönpano.

3.4Resilienssiä käsittelevässä osassa ehdotetaan kyberturvallisuuteen liittyviä toimia, jotka koskevat erityisesti markkinakysymyksiä, verkko- ja tietoturvadirektiiviä, nopeaa reagointia hätätilanteissa, EU:n toimivallan kehittymistä, koulutusta – myös kyberosaamisen ja kyberhygienian alalla – ja tietoisuuden lisäämistä.

3.5Samaan aikaan kyberturvallisuusasetuksessa ehdotetaan EU:n kyberturvallisuuden sertifiointikehyksen luomista tieto- ja viestintätekniikan tuotteille ja palveluille.

3.6Kyberturvallisuusasetuksessa ehdotetaan myös ENISAn roolin vahvistamista kyberturvallisuudesta vastaavana EU:n virastona ja pysyvän mandaatin myöntämistä. ENISAn nykyisten vastuiden lisäksi sen odotetaan vastaavan uusista tuki- ja koordinointitehtävistä, jotka liittyvät verkko- ja tietoturvadirektiivin täytäntöönpanoon, EU:n kyberturvallisuusstrategiaan, kyberturvallisuussuunnitelmaan, valmiuksien kehittämiseen, tietämykseen ja tiedottamiseen, tietoisuuden lisäämiseen, markkinoihin liittyviin tehtäviin, kuten standardisoinnin ja sertifioinnin tukemiseen, tutkimukseen ja innovointiin, yleiseurooppalaisiin kyberturvallisuusharjoituksiin ja eurooppalaisen CSIRT-verkoston (tietoturvaloukkauksiin reagoivat ja niitä tutkivat yksiköt) sihteeristöön.

4.Yleistä

4.1Taustaa: häiriönsietokyky (resilienssi)

4.1.1Kyberturvallisuuden sisämarkkinat

Varmistamisvelvollisuus (duty of care): Yhteisessä tiedonannossa mainitun varmistamisvelvollisuusperiaatteen kehittäminen turvallisten elinkaariprosessien käyttöä varten on mielenkiintoinen käsite, jota on kehitettävä EU:n teollisuudessa. Tämä voisi johtaa laaja-alaiseen lähestymistapaan EU:n lainsäädännön noudattamisessa. Turvallisuutta olisi pohdittava oletusarvoisesti tulevassa kehitystyössä.

Vastuu: Sertifiointi helpottaa vastuuseen asettamista riitatapauksissa.

4.1.2Verkko- ja tietoturvadirektiivi: energia, liikenne, pankit/rahoitus, terveys, vesihuolto, digitaalinen infrastruktuuri, verkkokauppa.

ETSK:n mukaan verkko- ja tietoturvadirektiivin täysipainoinen ja tehokas täytäntöönpano on ratkaisevan tärkeää, jotta voidaan varmistaa kriittisten kansallisten alojen häiriönsietokyky.

ETSK katsoo, että julkisten ja yksityisten toimijoiden välistä tiedonjakoa olisi vahvistettava alakohtaisilla tietojen jakamisen ja analysoinnin keskuksilla (ISAC). Nykyisin käytössä olevan mekanismin arvioinnin ja analyysin pohjalta olisi kehitettävä asianmukainen mekanismi, jolla tietoa voidaan jakaa turvallisesti ja luotettavasti ISAC-keskusten sisällä sekä niiden ja CSIRT-toimijoiden välillä.

4.1.3Nopea reagointi hätätilanteessa

Suunnitelmaan perustuva lähestymistapa tarjoaisi tehokkaan prosessin EU- ja jäsenvaltiotason operatiivista reagointia varten laajamittaisten turvallisuuspoikkeamien tapauksessa. Komitea korostaa tarvetta ottaa yksityinen sektori mukaan toimiin. Myös toiminnalliseen reagointimekanismiin kuuluvien keskeisten palvelujen tarjoajat olisi otettava huomioon, koska ne voisivat antaa arvokasta tietoa uhkista ja/tai tukea uhkien ja laajamittaisten kriisien tunnistamisessa ja niihin vastaamisessa.

Yhteisessä tiedonannossa ehdotetaan kybertapahtumien sisällyttämistä EU:n kriisinhallintamekanismeihin. Vaikka ETSK ymmärtää yhteisten toimien ja yhteisvastuullisuuden tarpeen hyökkäyksen tapahtuessa, on pyrittävä ymmärtämään paremmin, kuinka tätä voitaisiin soveltaa, koska kyberuhkat leviävät yleensä maasta toiseen. Kansallisissa hätätilanteissa käytettyjä toimia voitaisiin hyödyntää vain osittain paikallisissa tarpeissa.

4.1.4EU:n valmiuksien kehittäminen

Jotta EU voisi olla maailmanlaajuisesti aidosti kilpailukykyinen ja jotta voidaan luoda vakaa teknologiaperusta, on tärkeää luoda johdonmukaiset, pitkäaikaiset puitteet, jotka kattavat kaikki kyberturvallisuuden arvoketjun vaiheet. Tässä yhteydessä Euroopan alueellisten ekosysteemien välisen yhteistyön edistäminen on ratkaisevan tärkeää Euroopan kyberturvallisuuden arvoketjun kehittämiselle. ETSK suhtautuu myönteisesti ehdotukseen kyberturvallisuuden osaamisverkoston luomisesta.

Tämä verkosto voisi tukea Euroopan digitaalista itsemääräämisoikeutta kehittämällä kilpailukykyisen eurooppalaisen teollisuuspohjan ja vähentämällä riippuvuutta EU:n ulkopuolella kehitetystä taitotiedosta keskeisten teknologiavalmiuksien alalla, tarjoamalla teknisiä harjoituksia, seminaareja ja jopa tärkeää verkkohygieniakoulutusta ammattilaisille ja muille toimijoille sekä edistämällä kansallisten julkisen ja yksityisen sektorin organisaatioiden verkoston kehittämistä eurooppalaisten markkinoiden kehittämisen tukemiseksi sopimusperusteisen julkisen ja yksityisen sektorin kumppanuuden puitteissa tehdyn pohjalta. Sopimusperusteisen julkisen ja yksityisen sektorin kumppanuuden edistämisen tulisi johtaa sen optimointiin, mukauttamiseen tai laajentamiseen" ( Kyberturvallisuutta koskeva puheenjohtajakolmikon (Viro, Bulgaria, Itävalta) työohjelma EE-BG-AT ) luomalla kolmen osapuolen (komission, jäsenvaltioiden ja yritysten) yhteisyritys.

Jotta verkosto voisi olla tehokas ja saavuttaa tavoitteensa Euroopan tasolla, sen olisi nojauduttava hyvin määriteltyyn hallintojärjestelmään.

Verkostoa tukisi Euroopan kyberturvallisuuden tutkimus- ja osaamiskeskus, joka yhdistäisi kaikki EU:ssa olevat nykyiset kansalliset osaamiskeskukset. EU:n osaamiskeskus koordinoisi ja hallinnoisi tutkimusta, kuten muissakin yhteisyrityksissä, ja mahdollistaisi Euroopan kyberturvallisuuden ekosysteemin tehokkaan kehityksen, mikä tukisi innovoinnin toteuttamista ja hyödyntämistä EU:ssa.

4.2Taustaa: pelote

4.2.1Kyberrikollisuuden torjuminen on tärkeimpiä painopisteitä sekä jäsenvaltioiden että Euroopan tasolla, ja se edellyttää voimakasta poliittista sitoutumista. Pelotetoimien olisi perustuttava julkisen ja yksityisen sektorin vahvaan kumppanuuteen, tehokkaaseen tiedonjakoon ja asiantuntemukseen sekä jäsenvaltioiden että Euroopan tasolla. Voitaisiin myös harkita mahdollisuutta laajentaa Europolin toimintaa kyberrikostutkintaan ja -valvontaan.

4.3Taustaa: kansainvälinen yhteistyö

4.3.1Luottamukseen perustuvan yhteistyön luominen ja ylläpitäminen kolmansien maiden kanssa kyberdiplomatian ja liikekumppanuuksien avulla on keskeisen tärkeää, jotta voidaan vahvistaa Euroopan kykyä estää laajamittaisia kyberhyökkäyksiä ja vastata niihin. EU:n olisi edistettävä yhteistyötä Yhdysvaltojen, Kiinan, Israelin, Intian ja Japanin kanssa. EU:n vientivalvonnan uudenaikaistamisessa olisi vältettävä ihmisoikeuksien loukkauksia ja teknologioiden väärinkäyttöä EU:n omaa turvallisuutta vastaan, mutta samalla olisi varmistettava, että EU:n teollisuus ei joudu epäedulliseen asemaan kolmansien maiden tarjonnan vuoksi. Olisi harkittava tilapäistä strategiaa liittymistä valmisteleville maille, jotta voidaan valmistella arkaluontoisten rajatylittävien tietojen vaihtoa. Tähän sisältyisi mahdollisuus osallistua tarkkailijana joihinkin ENISA-maiden toimiin. Maat olisi asetettava paremmuusjärjestykseen sen perusteella, kuinka halukkaita ne ovat torjumaan kyberrikollisuutta, ja tarvittaessa voitaisiin laatia musta lista.

4.3.2ETSK suhtautuu myönteisesti kyberpuolustuksen käyttöönottamiseen mahdollisesti perustettavan EU:n kyberturvallisuuden osaamiskeskuksen suunnitellussa toisessa vaiheessa. Näin ollen Eurooppa voisi tällä välin tarkastella monikäyttöisten valmiuksien kehittämistä, mihin kuuluisi Euroopan puolustusrahaston vauhdittaminen ja suunnitellun kyberpuolustuksen harjoittelu- ja koulutusalustan perustaminen vuoteen 2018 mennessä. Ottaen huomioon kummankin osapuolen tunnustamat mahdollisuudet ja uhkat ETSK pitää välttämättömänä kehittää EU:n ja Naton yhteistyötä, ja eurooppalaisen teollisuuden olisi myös seurattava tiiviisti EU:n ja Naton yhteistyön tulevaa kehitystä kyberturvallisuuden standardien yhteentoimivuuden alalla samoin kuin muita yhteistyömuotoja, jotka liittyvät kyberpuolustusta koskevaan EU:n lähestymistapaan.

4.4EU:n sertifiointikehys

4.4.1ETSK katsoo, että EU:n on vastattava kyberturvallisuuden hajanaisuuden aiheuttamaan haasteeseen edistämällä sääntöjen yhdenmukaista tulkintaa ja jäsenvaltioiden välistä vastavuoroista tunnustamista yhdenmukaisissa puitteissa digitaalisten sisämarkkinoiden turvaamisen helpottamiseksi. Sertifiointikehys voisi tarjota yhteisen perustan (ja tarvittaessa korkeamman tason erityiset säännökset), varmistaa vertikaalisten alojen synergiat ja vähentää nykyistä hajanaisuutta.

4.4.2ETSK suhtautuu myönteisesti EU:n kyberturvallisuuden sertifiointikehyksen ja eri alojen sertifiointijärjestelmien luomiseen asianmukaisten vaatimusten pohjalta ja yhteistyössä tärkeimpien sidosryhmien kanssa. Markkinoilletuontiaika ja sertifiointikustannukset sekä laatu ja turvallisuus ovat kuitenkin keskeisiä osatekijöitä, jotka on otettava huomioon. Sertifiointijärjestelmiä perustetaan turvallisuuden parantamiseksi nykyisten tarpeiden ja uhkia koskevan tiedon perusteella. Tarvittavien päivitysten mahdollistamiseksi olisi otettava huomioon järjestelmien joustavuus ja kehittämiskapasiteetti. Eri aloilla on sovellettava erilaisia lähestymistapoja niiden toimintatavan vuoksi. Sen vuoksi ETSK katsoo, että alakohtaiset EU:n virastot (Euroopan lentoturvallisuusvirasto, Euroopan pankkiviranomainen, EU:n rautatievirasto, Euroopan lääkevirasto jne.) olisi otettava mukaan prosessiin ja eräissä tapauksissa niiden tehtäväksi olisi annettava laatia kyberturvallisuusjärjestelmiä ENISAn suostumuksella, jotta vältetään päällekkäisyyksiä ja johdonmukaisuuden puutetta.

4.4.3Komitea katsoo olevan tärkeää, että sertifiointikehys perustuu yhteisesti määriteltyihin eurooppalaisiin ja mahdollisuuksien mukaan kansainvälisesti tunnustettuihin kyberturvallisuus- ja tieto- ja viestintätekniikkastandardeihin. Aikataulua ja kansallista toimivaltaa ajatellen tietotekniikan turvallisuuden eurooppalaiset vähimmäisvaatimukset olisi hyväksyttävä yhteistyössä Euroopan standardointikomitean (CEN), Euroopan sähkötekniikan standardointijärjestön (Cenelec) ja eurooppalaisen telealan standardoimisjärjestön (ETSI) kanssa. Ammatillisiin vaatimuksiin olisi suhtauduttava myönteisesti, mutta niiden ei pitäisi olla oikeudellisesti sitovia tai estää kilpailua.

4.4.4On selvää, että vastuun on oltava yhteydessä eri varmuustasoihin uhkien vaikutuksen pohjalta. Vuoropuhelun käynnistäminen vakuutusyhtiöiden kanssa voisi edistää tehokkaiden kyberturvallisuusvaatimusten hyväksymistä sovellusalan mukaisesti. ETSK:n mielestä korkeaan varmuustasoon pyrkiviä yrityksiä olisi tuettava ja kannustettava etenkin kriittisten laitteiden ja järjestelmien osalta.

4.4.5Ottaen huomioon direktiivin 85/374/ETY 9 hyväksymisestä kuluneen ajan ja viimeaikaisen teknologisen kehityksen ETSK kehottaa komissiota pohtimaan, olisiko aiheellista tärkeää on sisällyttää eräät tässä asetusehdotuksessa kaavaillut skenaariot direktiivin soveltamisalaan, jotta voidaan tuottaa turvallisempia tuotteita ja varmistaa korkeatasoinen suojelu.

4.4.6ETSK katsoo, että ENISAn tukeman kaavaillun Euroopan kyberturvallisuuden sertifiointiryhmän olisi koostuttava kansallisista sertifioinnin valvontaelimistä, yksityisen sektorin sidosryhmistä ja eri sovellusalojen toimijoista, jotta voidaan varmistaa laaja-alaisten sertifiointijärjestelmien kehittäminen. Lisäksi olisi suunniteltava tämän ryhmän ja EU:n /ETA:n alakohtaisten järjestöjen (esim. sopimusperusteinen julkisen ja yksityisen sektorin kumppanuus, pankkiala, liikenne, energia, ammattiliitot) välistä yhteistyötä nimittämällä asiantuntijoita. Ryhmän olisi kyettävä tarkastelemaan EU:n saavutuksia sertifioinnissa (pääasiassa johtavien virkamiesten tietoturvallisuusryhmän (SOG-IS) vastavuoroista tunnustamista koskevan sopimuksen sekä kansallisten ja yksityisten järjestelmien perusteella) ja pyrittävä säilyttämään Euroopan kilpailuedut.

4.4.7ETSK ehdottaa, että tälle sidosryhmien liittymälle olisi annettava vastuu sertifiointijärjestelmien valmistelusta yhdessä Euroopan komission kanssa. Alakohtaiset vaatimukset tulisi myös määritellä sopimalla niistä yhteisesti julkisen ja yksityisen sektorin sidosryhmien (käyttäjien ja toimittajien) välillä.

4.4.8Lisäksi ryhmän olisi tarkistettava sertifiointijärjestelmiä säännöllisesti, pohdittava kunkin alan vaatimuksia ja mukautettava järjestelmiä tarvittaessa.

4.4.9ETSK kannattaa kansallisten sertifiointijärjestelmien lakkauttamista, kun eurooppalainen järjestelmä otetaan käyttöön, kuten asetuksen 49 artiklassa ehdotetaan. Sisämarkkinat eivät voi toimia erilaisten, keskenään kilpailevien kansallisten sääntöjen voimassa ollessa. Sen vuoksi ETSK ehdottaa kaikkien kansallisten järjestelmien kartoittamista.

4.4.10ETSK ehdottaa, että komissio käynnistää toimet kyberturvallisuuden sertifioinnin ja sertifikaattien edistämiseksi EU:ssa ja tukee niiden tunnustamista kaikissa kansainvälisissä kauppasopimuksissa.

4.5ENISA

4.5.1ETSK katsoo, että komission ehdottama ENISAn uusi pysyvä mandaatti edistää merkittävästi eurooppalaisten järjestelmien resilienssin vahvistamista. Uudistetulle ENISAlle myönnetty alustava talousarvio ja resurssit eivät ehkä kuitenkaan riitä toimeksiannon suorittamiseen.

4.5.2ETSK kehottaa kaikkia jäsenvaltioita perustamaan selkeän vastineen ENISAlle, koska useimmat eivät ole vielä tehneet sitä. Olisi edistettävä jäsenneltyä ohjelmaa kansallisten asiantuntijoiden lähettämiseksi ENISAan, jotta voidaan tukea parhaiden käytäntöjen vaihtoa ja vahvistaa luottamusta. Lisäksi komitea kehottaa komissiota varmistamaan, että nykyiset hyvät käytännöt ja jäsenvaltioissa käytössä olevat tehokkaat toimenpiteet kartoitetaan ja tieto niistä jaetaan.

4.5.3ETSK katsoo myös, että valmiuksien kehittämisessä ENISAn olisi asetettava etusijalle toimet, joilla tuetaan sähköistä hallintoa. 10 Henkilöiden, organisaatioiden, yritysten ja esineiden eurooppalainen tai maailmanlaajuinen digitaalinen identiteetti on keskeisen tärkeä, ja identiteettivarkauksien sekä verkkopetosten estäminen ja torjuminen sekä teollis- ja tekijänoikeuksien varkauksien torjuminen olisi asetettava etusijalle.

4.5.4ENISAn olisi myös laadittava säännöllisesti raportteja jäsenvaltioiden valmiudesta torjua kyberuhkia (cyber readiness) ja keskityttävä pääasiassa verkko- ja tietoturvadirektiivin liitteessä II mainittuihin aloihin. Vuosittaisessa yleiseurooppalaisessa kyberharjoituksessa olisi arvioitava jäsenvaltioiden valmiuksia ja kyberturvallisuuskriisejä koskevan eurooppalaisen reagointimekanismin tehokkuutta sekä annettava suosituksia.

4.5.5ETSK on huolestunut siitä, että resurssit ovat liian niukat operatiivisen yhteistyön kannalta CSIRT-verkosto mukaan lukien.

4.5.6Markkinoihin liittyvien tehtävien osalta ETSK katsoo, että jäsenvaltioiden kanssa tehtävän yhteistyön vauhdittaminen ja kyberturvallisuudesta vastaavien virastojen virallisen verkoston perustaminen auttaisi tukemaan yhteistyötä sidosryhmien parissa. 11 Markkinoilletuontiaika on hyvin lyhyt ja kriittinen EU:n yrityksille, jotta ne voisivat kilpailla tällä alalla, ja ENISAn on kyettävä reagoimaan sen mukaisesti. ETSK katsoo, että EU:n muiden virastojen tavoin ENISA voisi tulevaisuudessa soveltaa maksujen muodostamaa järjestelmää. ETSK on huolestunut siitä, että EU:n ja kansallisten virastojen välinen kilpailu toimivallasta voisi viivästyttää EU:n sääntelypuitteiden asianmukaista toteuttamista ja vahingoittaa EU:n sisämarkkinoita, kuten muilla aloilla on tapahtunut.

4.5.7ETSK panee merkille, että tutkimukseen ja innovointiin sekä kansainväliseen yhteistyöhön liittyvät tehtävät ovat nykyisin vähäisiä.

4.5.8ETSK katsoo, että kyberturvallisuudesta olisi keskusteltava säännöllisesti oikeus- ja sisäasioiden alan virastojen yhteisissä säännönmukaisissa kokouksissa ja että ENISAn ja Europolin olisi tehtävä säännöllistä yhteistyötä.

4.5.9Koska kybermaailma on hyvin innovatiivinen, standardeja on harkittava huolellisesti, jotta vältetään innovoinnin estyminen. Tämä edellyttää dynaamisia puitteita. Yhteentoimivuus sekä aiempien että myöhempien järjestelmien kanssa olisi varmistettava mahdollisimman pitkälle, jotta voidaan suojella sekä kansalaisten että yritysten investointeja.

4.5.10Kansallisten sertifiointialan valvontaviranomaisten merkityksen vuoksi ETSK ehdottaa, että asetuksella luotaisiin jo viranomaisten virallinen verkosto, joka voisi ratkaista rajatylittäviä kysymyksiä ENISAn tuella. Verkosto voisi myöhemmin yhdistyä yhdeksi virastoksi.

4.5.11Luottamus on ensiarvoisen tärkeää, mutta ENISA ei voi antaa päätöksiä tai tarkastuskertomuksia. ETSK:n mielestä viraston olisi valvottava kansallisten sertifiointialan valvontaviranomaisten toimintaa ja päätöksentekoa tekemällä tarkastuksia komission puolesta.

4.5.12Teollisuuden ja kuluttajajärjestöjen olisi voitava osallistua ENISAn johtokuntaan tarkkailijoina.

4.6Teollisuus, pk-yritykset, rahoitus/investoinnit ja innovatiiviset liiketoimintamallit

4.6.1Teollisuus ja investoinnit

Tieto- ja viestintätekniikan alalla toimivien eurooppalaisten yritysten maailmanlaajuisen kilpailukyvyn lisäämiseksi on toteutettava toimia, joilla voidaan tukea alan teollisuuden kasvua ja kilpailukykyä aiempaa paremmin. Tämä koskee myös pk-yrityksiä.

EU:n olisi lisättävä investointeja suuntaamalla EU:n eri rahastoja, kansallisia rahastoja ja yksityisen sektorin investointeja kohti strategisia tavoitteita julkisen ja yksityisen sektorin vankan yhteistyön puitteissa. Investointeja kriittisille aloille olisi lisättävä ja tuettava perustamalla nykyisessä ja tulevassa tutkimuksen puiteohjelmassa EU:n kyberturvallisuusrahasto innovointia sekä tutkimusta ja kehitystä varten. Lisäksi unionin olisi perustettava rahasto kyberturvallisuuden toteuttamista varten ja avattava uusi rahoitusmahdollisuus nykyisessä ja tulevassa Verkkojen Eurooppa -välineessä sekä seuraavassa ESIR 3.0 -rahastossa.

EU:n jäsenvaltioille olisi luotava kannustimia, jota ne hankkisivat eurooppalaisia ratkaisuja ja valitsisivat eurooppalaisia toimittajia aina kun se on mahdollista ja etenkin arkaluontoisten sovellusten kohdalla. EU:n olisi tuettava eurooppalaisten kyberturvallisuusalan edelläkävijöiden kasvua, jotta nämä olisivat kilpailukykyisiä maailmanlaajuisilla markkinoilla.

4.6.2Pk-yritykset

Markkinoiden hajanaisuuden vuoksi markkinoille pääsy edellyttää lisää tietoa asiakkaiden tarpeista. Ilman jäsenneltyä kysyntää pk-yritykset ja startup-yritykset eivät voi kasvaa nopeasti. Tässä yhteydessä kyberturvallisuuden eurooppalaisen pk-keskuksen perustaminen olisi myönteistä.

Kyberturvallisuusteknologia muuttuu nopeasti, ja joustavuutensa vuoksi pk-yritykset voivat tarjota edistyneitä ratkaisuja, joita tarvitaan kilpailukyvyn säilyttämiseksi. Kolmansiin maihin verrattuna EU on yhä etsimässä asianmukaista liiketoimintamallia pk-yrityksille.

Voitaisiin laatia erityisesti startup-yrityksille ja pk-yrityksille suunnattuja järjestelmiä sertifiointikustannusten kattamiseksi, jotta voitaisiin helpottaa niiden vaikeuksia teknologiseen ja kaupalliseen kehittämiseen tarvittavien varojen löytämisessä.

4.7Inhimillinen tekijä: koulutus ja suojelu

4.7.1ETSK toteaa, että komission ehdotuksessa ei kiinnitetä riittävästi huomiota ihmisten rooliin digitaalisten prosessien käynnistäjinä joko edunsaajina tai merkittävien kybertapahtumien aiheuttajina.

4.7.2Sekä yksittäisille ihmisille että yrityksille on luotava vahva kyberosaamispohja ja parannettava verkkohygieniaa ja tietoisuutta kyberturvallisuudesta. Jotta tähän päästäisiin, olisi harkittava erityisiä investointeja, korkeatasoisten ohjaajien kouluttamista ja tehokkaita tiedotuskampanjoja. Näiden kolmen toimintalinjan toteuttaminen edellyttää koulutusohjelmien perustamisesta ja rahoittamisesta vastaavien valtio- ja aluetason viranomaisten sekä yritysten ja pk-yritysten yhteistä osallistumista.

4.7.3Olisi harkittava mahdollisesti EU-sertifioidun opetusohjelman perustamista kouluille ja ammattilaisille niin, että ENISA ja vastaavat kansalliset elimet osallistuvat hankkeeseen aktiivisesti. Lisäksi on otettava huomioon sukupuolten tasa-arvo kehitettäessä koulutusohjelmia, joiden tarkoituksena on parantaa työllisyyttä kyberturvallisuuden alalla.

4.7.4ETSK katsoo, että sertifiointiprosessiin tulee sisältyä asianmukainen merkintäjärjestelmä sekä laitteistolle että ohjelmistolle, kuten on monien muidenkin tuotteiden tapauksessa (esim. energiatuotteet). Tämä väline tuottaa kolminkertaista hyötyä, koska se vähentää yritysten kustannuksia, korjaa kansallisella tasolla vahvistettujen erilaisten sertifiointijärjestelmien aiheuttamaa markkinoiden hajanaisuutta ja edistää kuluttajien tietämystä hankittavan tuotteen laadusta ja ominaisuuksista. Tässä yhteydessä on tärkeää, että EU:n ulkopuolisista maista tuotuja tuotteita koskevat samat sertifiointi- ja merkintämenetelmät. Lopuksi ETSK katsoo, että tilapäisen logon käyttöönotto voisi olla tehokas tapa tiedottaa välittömästi kuluttajille ja käyttäjille hankittujen tuotteiden, verkkokaupan sivustojen tai arkaluontoisia tietoja välittävien sivustojen luotettavuudesta.

4.7.5ENISAn olisi johdettava keskeisiä monitasoisia tiedotus- ja valistustoimia, jotta voitaisiin lisätä tietämystä ”turvallisesta” verkkokäyttäytymisestä ja käyttäjien luottamusta internetiin. Tätä varten on otettava mukaan liike-elämän järjestöjä, kuluttajajärjestöjä ja muita digitaalipalvelujen alan elimiä.

4.7.6Kuten asiakokonaisuuteen INT/828 kuuluvassa lausunnossa on jo ehdotettu, ETSK katsoo, että kyberturvallisuusasetuksen lisäksi on tärkeää käynnistää mahdollisimman pian mittava Euroopan laajuinen digitaalisen koulutuksen ohjelma, joka tarjoaa kaikille digitaaliseen siirtymään tarvittavat välineet. ETSK on tietoinen asiaan liittyvästä kansallisesta toimivallasta, mutta se toivoo kuitenkin, että ohjelma aloitetaan oppilaitoksista ja että sen avulla parannetaan opetushenkilöstön tietämystä, mukautetaan opetusohjelmia ja opetusmenetelmiä digitaaliteknologioihin (verkko-oppiminen mukaan lukien) ja tarjotaan kaikille opiskelijoille korkeatasoista koulutusta. Tällaisen ohjelman luonnollisena jatkeena on elinikäinen oppiminen, jotta kaikkien työntekijöiden osaamista voidaan mukauttaa tai ajantasaistaa. 12

5.Erityistä

5.1Kehittyvät teknologiat ja ratkaisut: esineiden internet

Verkkoon liitettyjen laitteiden määrä kasvaa jatkuvasti ja osien, järjestelmien ja ratkaisujen digitalisoinnin ja parantuneiden yhteyksien vuoksi niiden odotetaan saavuttavan moninkertaisesti maapallolla elävien ihmisten määrän. Tämä suuntaus luo uusia mahdollisuuksia kyberrikollisille etenkin, koska esineiden internetin laitteet eivät ole niin hyvin suojeltuja kuin perinteiset laitteet.

Eurooppalaisten turvallisuusstandardien käyttöönotto esineiden internetiä käyttävillä vertikaalisilla tuotannonaloilla voi vähentää kehittämiseen käytettyä vaivaa, aikaa ja varoja kaikilta teollisuuden toimijoilta verkkoon liitettyjen tuotteiden arvoketjussa.

Jonkinlainen vähimmäisturvallisuustaso on todennäköisesti tarpeen ”ihmisten internetin” ”tavanomaisille” laitteille. Tässä yhteydessä voidaan hyödyntää IDAM-menetelmää (Identity and Access Management), paikkausta (patching) ja laitteiden hallinnointia. Koska sertifiointi on keskeinen menetelmä, jolla parannetaan turvallisuustasoa, esineiden internetin turvallisuudelle olisi annettava lisää painoa EU:n uudessa lähestymistavassa sertifiointiin.

Bryssel 5. helmikuuta 2018

Pierre Jean Coulon

”Liikenne, energia, perusrakenteet, tietoyhteiskunta” -erityisjaoston puheenjohtaja

_____________

(1)       Digitaaliset sisämarkkinat - väliarviointi .
(2)       OJ JOIN/2017/0450 final .
(3)       Komission yksiköiden valmisteluasiakirja – Vaikutustenarviointi, joka liittyy ehdotukseen Euroopan parlamentin ja neuvoston direktiiviksi, osa 1/6, s. 21, Bryssel 13.9.2017
(4)       Erityiseurobarometri 464a – Wave EB87.4 – Eurooppalaisten asenteet kyberturvallisuuteen, syyskuu 2017.
(5)       Eurooppa-neuvoston päätelmät, 19. lokakuuta 2017
(6)       Euroopan parlamentin päätöslauselma 17.5.2017 – A8-0176/2017.
(7)       Digitaaliset sisämarkkinat - väliarviointi ; EUVL C 75, 10.3.2017, s. 124 ; EUVL C 246, 28.7.2017, s. 8 ; EUVL C 345, 13.10.2017, s. 52 ; EUVL C 288, 31.8.2017, s. 62 ; EUVL C 271, 19.9.2013, s. 133
(8)      ETSK:n lehdistötiedote N:o 31/2017: Civil Society debates E-government and cybersecurity with incoming Estonian Presidency  http://api.eesc.europa.eu/documents/eesc-2017-03031-00-00-cp-tra-en.docx
(9)     EUVL L 210, 7.8.1985, s. 29 .
(10)       Digitaaliset sisämarkkinat - väliarviointi .
(11)       EUVL C 75, 10.3.2017, s. 124
(12)       Digitaaliset sisämarkkinat - väliarviointi .