27.9.2013   

HR

Službeni list Europske unije

C 280/19

—

Odbor pozdravlja Strategiju kibernetičke sigurnosti i Direktivu o sigurnosti mreža i informacija (NIS) koje predlaže Komisija i podržava cilj Strategije da stvori otvoren i siguran kibernetički prostor, a da internetsko okruženje EU-a postane najsigurnije na svijetu;

—

vjeruje da je hitno potreban paket koji objedinjuje postojeće i planirane napore u ovom području i koji će pomoći u stvaranju koordinirane i strateške vizije za Europu. Paket je potreban kako bi se osigurala koordinacija, potaknula suradnja, poduzele jasne i odlučne mjere, postigla zajednička razina kibernetičke zaštite, poboljšala otpornost mreža i sustava informacijske tehnologije na nove prijetnje te smanjila fragmentacija diljem EU;

—

predlaže da Komisija objavi Akcijski plan kojim bi objasnila kako će ambiciozni ciljevi definirani u paketu funkcionirati u praksi. Kako bi se utvrdilo odvijanje suradnje i tijek napretka, Akcijski će plan trebati smjernice za ocjenjivanje i mjerenje učinaka Strategije;

—

ističe da bi novi paket trebao poboljšati prevenciju, otkrivanje i reagiranje na kibernetičke incidente te dovesti do bolje koordinacije i dijeljenja informacija o ozbiljnim kibernetičkim incidentima između država članica i Komisije. Kako bi se to postiglo, potreban je pravi partnerski odnos između država članica, institucija EU-a, lokalnih i regionalnih vlasti, privatnog sektora i civilnog društva.

Izvjestitelj

Robert BRIGHT (UK/PES), član gradskog vijeća Newporta

Referentni dokumenti

Zajednička komunikacija za strategiju kibernetičke sigurnosti Europske unije

(JOIN(2013) 1 final)

Prijedlog Direktive o mjerama za postizanje visoke zajedničke razine sigurnosti mreža i informacija diljem Unije

(COM(2013) 48 final)

1.

Odbor pozdravlja Strategiju kibernetičke sigurnosti i Direktivu o sigurnosti mreža i informacija (NIS) koje predlaže Komisija i podržava cilj Strategije da stvori otvoren i siguran kibernetički prostor, a da internetsko okruženje EU-a postane najsigurnije na svijetu;

2.

očekuje da će novi paket o kibernetičkoj sigurnosti (uključujući Strategiju i Direktivu) „podići standarde“ i uvelike doprinijeti razvoju standarda kibernetičke sigurnosti diljem EU, umanjiti pravnu nesigurnost, povećati povjerenje u internetske usluge, smanjiti nepotrebne troškove i administrativno opterećenje te na taj način poduprijeti jedinstveno digitalno tržište i ciljeve iz strategije Europa 2020.;

3.

vjeruje da je hitno potreban paket koji objedinjuje postojeće i planirane napore u ovom području i koji će pomoći u stvaranju koordinirane i strateške vizije za Europu. Paket je potreban kako bi se osigurala koordinacija, potaknula suradnja, poduzele jasne i odlučne mjere, postigla zajednička razina kibernetičke zaštite, poboljšala otpornost mreža i sustava informacijske tehnologije na nove prijetnje te smanjila fragmentacija diljem EU;

4.

preporučuje organizacijama, uključujući i tijela javnih vlasti, da priznaju da je sprečavanje kibernetičkog kriminala borba koja traje, poziva da identificiraju osjetljive točke i razviju organizacijske kapacitete za sanaciju povreda te da na taj način daju prioritet prijetnji koju predstavljaju kibernetički poremećaji i napadi. Kako internet postaje sastavni dio života ljudi, tako se povećava i opasnost od kibernetičkog kriminala. Kibernetički kriminal u svim se oblicima razvija brzo, predstavlja novu i sofisticiranu prijetnju državama članicama, organizacijama, i građanima EU-a u 21. stoljeću, ne poznaje granice, a njegova se učestalost i kompleksnost stalno povećavaju;

5.

prepoznaje ključne napretke koje je EU dosada postigao u poboljšanju zaštite građana od internetskog kriminala, a oni uključuju zakonodavni okvir za napade na informacijske sustave i osnivanje svjetskog saveza za borbu protiv dječje pornografije na internetu. Paket treba nastaviti s primjenom mjera poput onih iz Digitalnog programa za Europu iz 2010. (1) godine te raditi na izgradnji snažne europske politike kibernetičke obrane; poziva u tu svrhu suzakonodavce koji trenutno razmatraju prijedlog Komisije o Direktivi o napadima na informacijske sustave (2) da se brzo dogovore o prijedlogu;

6.

podržava Strategiju jer njezini ciljevi nisu samo usklađivanje kapaciteta kibernetičke sigurnosti u državama članicama, usuglašavanje postojećih planiranih napora u cilju stvaranja zajedničkih standarda i jednakih uvjeta, već i koordiniranje i dosljednost triju politika čije su nadležnosti do sada bile odvojene: provođenje zakona, Digitalni program, sigurnosna i vanjska politika;

7.

predlaže da bi pri planiranju paketa bilo dobro razmotriti dokaze koje su prikupile nacionalne vlade te da bi paket trebao predložiti usklađene standarde sigurnosti mreža i informacija;

8.

pozdravlja to što se u paketu predlaže pristup planiranju politika koji uključuje više dionika. Paket prepoznaje važnost suradnje javnog i privatnog sektora i izgradnje pravog partnerstva radeći s odgovarajućim resursima. Paket također teži k stvaranju jedinstvenoga digitalnog tržišta u EU-u čime bi se za tvrtke, vlade i građane stvorilo sigurno i uspješno internetsko digitalno okruženje;

9.

pozdravlja mjere predložene u Direktivi, uključujući prijedlog kojime se traži da države članice usvoje nacionalne strategije sigurnosti mreža i informacija, osnuju timove za hitne računalne intervencije (CERTs) koji će surađivati s Europskom agencijom za sigurnost mreža i informacija (ENISA), kao i da osmisle jasan mehanizam za suradnju između država članica i Komisije na ranom upozoravanju na rizike i incidente putem sigurne infrastrukture. Ove mjere bi zajedno s regulatornim pristupom Direktive trebale uvelike poboljšati dosljednost, uspostaviti minimalni stupanj pripremljenosti na državnoj razini i pojačati kibernetičku obranu diljem EU-a;

10.

potiče Europski parlament i Vijeće na brzo usvajanje Direktive o visokoj zajedničkoj razini sigurnosti mreža i informacija diljem EU-a;

11.

predlaže da bi pri planiranju paketa bilo dobro razmotriti detalje o načinu na koji države članice prikupljaju podatke i prijavljuju kibernetički kriminal, kao i detalje o načinu provođenja mjera. Zajednički sustav obavještavanja, te jasni uvjeti dojavljivanja ključni su za izbjegavanje nejasnoća i nedosljednosti u načinu na koji državna tijela nadležna za sigurnost mreža i informacija definiraju i mjere kibernetičke incidente koji imaju „ozbiljan učinak“. Iznimno je važno da se pri osnivanju državnog tijela nadležnog za sigurnost mreža i informacija u obzir uzme podjela nadležnosti unutar država članica, a osobito unutar onih koje su izrazito federalizirane ili decentralizirane;

12.

izražava stoga određenu zabrinutost zbog nekih regulatornih i pravnih aspekata paketa, osobito zbog nedovoljne jasnoće kada je riječ o definiranju kriterija koje države članice moraju ispuniti da bi im se dopustilo sudjelovanje u sigurnom sustavu dijeljenja informacija, o određivanju događaja koji pokreću rano upozoravanje i o definiranju uvjeta kada tržišni operatori i javne administracije moraju obavijestiti o incidentu. Nepostojanje jasno određenih pravila o ovom pitanju prepreka je pravnoj sigurnosti;

13.

izražava zabrinutost da bi Direktiva mogla prouzrokovati nepotrebna administrativna opterećenja poslovanju poduzeća i javnih tijela. Mora se uložiti maksimalan napor u izbjegavanje dvostrukog reguliranja i usklađivanje bilo kojeg dodatnog reguliranja s načelom proporcionalnosti. Ovo neće biti osobito važno organizacijama koje su već obvezne obavještavati, što je u velikoj mjeri slično onome što je ovdje i zamišljeno;

14.

predlaže da Komisija objavi Akcijski plan kojim bi objasnila kako će ambiciozni ciljevi definirani u paketu funkcionirati u praksi. Kako bi se utvrdilo odvijanje suradnje i tijek napretka, Akcijski će plan trebati smjernice za ocjenjivanje i mjerenje učinaka Strategije;

15.

poziva sve države članice da izrade nacionalne strategije kibernetičke sigurnosti (do 2012. godine samo je deset država članica izradilo strategiju) koje će biti komplementarne s novom Strategijom EU-a. Komplementarnost nacionalnih strategija i Strategije EU-a važna je kako bi se osigurala dosljednost. Također je važno da potezi EU-a budu komplementarni s postojećom praksom i postojećim strukturama u državama članicama;

16.

pozdravlja planirane poteze Komisije da razvije sposobnosti EU-a na području kibernetičke sigurnosti, uključujući pokretanje pilot projekta za borbu protiv botnetova i zloćudnog softvera; predanost poboljšanju suradnje između timova za hitne računalne intervencije (CERTs), Europske agencije za sigurnost mreža i informacija (ENISA) i novog Europskog centra za kibernetički kriminal; razvoj državnih centara izvrsnosti za kibernetički kriminal: pokretanje javno-privatne platforme o rješenjima za sigurnost mreža i informacija i o poticajnim mjerama za primjenu sigurnih rješenja za informacijsko-komunikacijske tehnologije (ICT). Također pozdravlja cilj Strategije da okupi sve uključene strane kako bi za 12 mjeseci procijenili napredak;

17.

ističe da uspješna strategija kibernetičke sigurnosti ovisi o bliskoj suradnji između tijela nadležnih za sigurnost mreža i informacija te tijela za provođenje zakona. Stoga je od ključne važnosti sustavno obavještavati tijela za provođenje zakona o incidentima za koje se sumnja da su ozbiljne i kriminalne naravi.

18.

smatra da su prioriteti određeni u paketu uravnoteženi i primjereni. Prioriteti poput zaštite temeljnih prava, osobnih podataka i privatnosti, učinkovitog upravljanja s više dionika te dijeljenja odgovornosti za sigurnost, područja su u kojima bi gradovi i regije trebali igrati ključnu ulogu budući da su oni nositelji informacija za javnost;

19.

preporučuje da se, uz države članice, i regije priznaju kao glavni promicatelji čvršće suradnje između korisnika i proizvođača inovacija u informacijsko-komunikacijskim tehnologijama na različitim razinama vlasti i uprave, uključujući kibernetičku sigurnost i zaštitu podataka;

20.

ističe da bi novi paket trebao poboljšati prevenciju, otkrivanje i reagiranje na kibernetičke incidente te dovesti do bolje koordinacije i dijeljenja informacija o ozbiljnim kibernetičkim incidentima između država članica i Komisije. Kako bi se to postiglo, potreban je pravi partnerski odnos između država članica, institucija EU-a, lokalnih i regionalnih vlasti, privatnog sektora i civilnog društva;

21.

priznaje da će za suzbijanje kibernetičkih prijetnji biti potrebno više resursa, kao i osvještavanje prijetnje koju predstavlja kibernetički kriminal te učinkovita i prikladna kibernetička sigurnost. Što se tiče višerazinskog upravljanja, kvalitetan pristup mora uzeti u obzir lokalne i regionalne vlasti koje u potpunosti i učinkovito moraju biti uključene u upravljanje inicijativama povezanima s informacijsko-komunikacijskim tehnologijama;

22.

smatra da lokalne i regionalne vlasti imaju ključnu ulogu u borbi protiv kibernetičkog kriminala, prikupljanju kibernetičkih podataka i zaštiti sigurnosti podataka budući da povrede sigurnosti ugrožavaju komunalne usluge poput lokalne opskrbe vodom ili energijom i da se u njima koristi mnogo proizvoda i usluga koji sadrže digitalne informacije. Na lokalnim i regionalnim vlastima leži sve veća odgovornost da građanima pruže digitalne usluge te da u škole uvedu obuku o sigurnosti mreža i informacija. Vlasti, uključujući i one na lokalnoj i regionalnoj razini, odgovorne su za osiguranje pristupa i otvorenosti, poštivanje i zaštitu temeljnih prava na internetu te održavanje pouzdanosti i interoperabilnosti interneta;

23.

predlaže da bi se lokalne i regionalne vlasti s obzirom na svoje nadležnosti i ključnu ulogu koju bi trebale preuzeti u planiranju i izvršenju svih mjera na području informacijsko-komunikacijskih tehnologija (osobito na području privatnosti, zaštite podataka i kibernetičke sigurnosti) trebale sustavno savjetovati s institucijama EU-a i državama članicama o koncepciji i izvršenju mjera planiranih za provođenje Digitalnog programa. Žalimo što se pri pripremi prijedloga Direktive nisu prikupila mišljenja lokalnih i regionalnih vlasti. Odbor regija jasno je rekao da je spreman pomoći Komisiji u predzakonodavnom savjetovanju, kao što stoji u Protokolu o suradnji između Odbora regija i Komisije; (3)

24.

predlaže da se mjere koje se odnose na lokalne i regionalne vlasti uvrste u članak 14. točku 1. Direktive. Te bi mjere mogle uključivati pokretanje postupka procjene i upravljanja rizikom, provođenje politike sigurnosti informacija, povećanje vidljivosti problema kibernetičke sigurnosti te poboljšanje digitalne pismenosti i digitalnih vještina;

25.

naglašava da se na lokalnoj i regionalnoj razini trebaju poticati i razvijati partnerstva između svih važnih činitelja kako bi koordinirano radili na kibernetičkoj sigurnosti i zatim svoj rad spojili s djelovanjem na nacionalnoj razini i razini EU-a, s naglaskom na borbu protiv elektroničkog kriminala i smanjenje štete koju on uzrokuje putem izravne krađe financijske ili intelektualne imovine, remećenja komunikacija ili oštećenjem podataka važnih za poslovanje.

26.

zamjećuje da su ispunjena dva preduvjeta za pridržavanje načelu supsidijarnosti, a to su potreba za djelovanjem EU-a i dodana vrijednost djelovanja na razini EU-a. Predložena djelovanja su važna jer uključuju transnacionalne aspekte koje države članice i/ili lokalne i regionalne vlasti same ne mogu regulirati na odgovarajući način. Predložena će djelovanja u usporedbi s izoliranim djelovanjem na lokalnoj, regionalnoj i državnoj razini biti mnogo korisnija jer se, na primjer, osobni podaci sve više prenose preko granica, kako unutarnjih, tako i vanjskih. Uz to će regulatorne obveze na razini EU-a snažno doprinijeti stvaranju jednakih uvjeta i nestanku rupa u zakonu;

27.

pozdravlja istinsku predanost Direktive načelima supsidijarnosti i proporcionalnosti. Budući da incidenti i rizici povezani sa sigurnošću mreža i informacija ne poznaju državne granice, ciljeve postavljene u Direktivi bit će lakše postići na razini EU-a, u skladu s načelom supsidijarnosti. Kada je riječ o zaštiti osobnih podataka, istraživanja pokazuju da građani EU-a vjeruju institucijama kao što je Komisija. (4) Direktiva je također u velikoj mjeri usklađena s načelom proporcionalnosti, čime se osigurava da predložena Direktiva ne prelazi preko onog što je potrebno za postizanje ciljeva. Međutim, činjenica da prijedlog za svaku državu predviđa samo jedno nadležno tijelo ili tim za hitne računalne intervencije (CERT) izaziva zabrinutost u pogledu poštovanja načela proporcionalnosti i unutarnjih struktura vlasti država članica EU-a;

28.

vjeruje da, iako je paket pravno temeljen na člancima 26. i 114. Ugovora o funkcioniranju Europske unije, predloženo djelovanje prelazi ove članke jer prijedlog pokriva sve informacijske sustave u javnoj upravi, uključujući unutarnje informacijske sustave kao što je intranet.

29.

pozdravlja predanost Direktive Povelji o temeljnim pravima Europske unije. Norme, načela i vrijednosti do kojih EU drži u stvarnom svijetu, trebaju vrijediti i na internetu. Informacijske i komunikacijske tehnologije moraju brinuti o potrebama svih članova društva pa i onih koji su gotovo isključeni iz društva. Svi korisnici interneta trebali bi očekivati minimalne standarde za širok spektar potreba, uključujući pouzdanost, sigurnost, transparentnost, jednostavnost, interoperabilnost te smanjenje rizika i odgovornosti. Odbor poziva da se u cilju učinkovite zaštite temeljnih prava, pravne sigurnosti i zadržavanja prava parlamentarnog nadzora u samu Direktivu uvedu konkretnija materijalna pravila koja definiraju standarde sigurnosti mreža i informacija. To se posebice odnosi na uvjete za sigurnost mreže i informacija u područjima temeljnih prava, zaštite podataka i zakona o sigurnosti podataka;

30.

naglašava da pokušaji zaštite i obrane građana na internetu moraju biti u ravnoteži s pravima, slobodama i načelima koje građanima jamči Povelja. Pozdravlja se važnost donošenja kibernetičkih politika u skladu s temeljnim vrijednostima EU-a. Kao što stoji u prijašnjim mišljenjima, (5) ključno je da se ispune svi sigurnosni uvjeti na svim razinama kako bi se osigurala optimalna razina privatnosti i zaštite osobnih podataka te spriječila bilo koja vrsta neovlaštenog praćenja osobnih informacija i profiliranja;

31.

naglašava da je, unatoč tome što privatni operatori sve više preuzimaju odgovornost za ključnu infrastrukturu i internetske usluge i što je potrebno priznati njihovu ulogu, država je ta koja mora biti odgovorna za čuvanje slobode i sigurnosti svojih građana na internetu.

32.

napominje da će načelo koje se uvodi diljem Europe da se podaci ljudi i predmeta registriraju samo jednom i kojim se ukida stalno ispunjavanje formulara uvelike pomoći u smanjenju nepotrebne birokracije i smanjiti troškove javne uprave. Mora se obratiti pažnja na usklađenost sa zakonodavstvom o zaštiti podataka.

33.

naglašava da su za učinkovitu kibernetičku obranu potrebni obuka i bolje vještine osoblja, uključujući i zaposlenike lokalnih i regionalnih vlasti. Opširna se obuka mora organizirati za cijelo osoblje, a osobito za specijalizirane tehničare, osoblje koje je izravno uključeno u rad na sigurnosnim procedurama s raznom metodologijom, osoblje koje je općenito ili neizravno uključeno u rad na inovacijama i modernizaciji na području povjerenja i sigurnosti. Stalna je obuka važna za uspjeh e-vlade, dok lokalne i regionalne vlasti imaju sve veću ulogu u informiranju i davanju smjernica građanima o pravilnoj upotrebi sustava i prepoznavanju kibernetičkih prijetnji; (6)

34.

napominje da je sudjelovanje rukovodećeg osoblja ključno za uspjeh. Stoga je ciljana obuka rukovodećeg osoblja također potrebna kako bi dobili znanja i dobru osnovu za razvoj kulture sigurnosti u svojim organizacijama;

35.

primjećuje poboljšanja u obrazovanju i obuci postignuta uvođenjem obuke o sigurnosti mreža i informacija te uspostavom prvenstva u kibernetičkog sigurnosti u 2014. godini. Pri tome bi trebalo obratiti pažnju na postojeća događanja u državama članicama i potaknuti razmjenu najboljih praksi. Međutim, budući da je obrazovanje u nadležnosti država članica, smatra da će biti potrebni značajni resursi i planiranje ako se to želi postići do 2014. godine.

36.

ukazuje na to da zaštita privatnosti ovisi o nekoliko faktora, uključujući o strukturiranju tijela javnog sektora (većinom na lokalnoj razini), približavanju zakonodavstva EU-a, poticanju kulture inovacija kod službenika javnih tijela putem zajedničkoga etičkog kodeksa, a kod građana putem definiranja i podizanja svijesti o njihovim digitalnim potrošačkim pravima, te o upravljanju aplikacijama informacijske tehnologije;

37.

smatra da daljnje djelovanje mora biti usmjereno na stimuliranje i poticanje razvoja, na primjenu tehničkih rješenja kada je riječ o ilegalnom sadržaju i štetnom ponašanju na internetu, kao i na poticanje suradnje i razmjene najboljih praksi između raznih uključenih dionika na lokalnoj, regionalnoj, europskoj i međunarodnoj razini. Telefonske linije za pomoć djeci, roditeljima i skrbnicima, linije pomoći za prijavljivanje zlostavljanja, softver koji omogućava bolje prepoznavanje uvredljivih sadržaja te lako i brzo prijavljivanje iznimno su važni u tom pogledu;

38.

preporučuje da se ulože maksimalni napori u povećanje malog broja poduzeća u EU-u (26% do siječnja 2012.) koja su službeno definirala politike o sigurnosti informacijskih i komunikacijskih tehnologija. (7) Poduzeća svih veličina moraju se poticati da ulažu u kibernetičku sigurnost, što mogu iskoristiti za marketinško privlačenje potencijalnih klijenata, a usput i ublažiti katastrofalne učinke kibernetičkog kriminala. Poduzeća bi trebala razmotriti pristup kibernetičkoj sigurnosti koji je tehnološki razvijen i usmjeren na poslovanje, a prioritet dati svojoj najvažnijoj poslovnoj imovini ili poslovnim procesima.

39.

naglašava da je, s obzirom na golemi gospodarski potencijal koji informacijske i komunikacijske tehnologije imaju u europskom gospodarstvu (trenutno 6% BDP-a Europske unije (8)), potrebno poduzeti konkretne radnje u vezi rješavanja sve većeg problema kibernetičkog kriminala te kako bi se vratilo povjerenje građana i tvrtki u internetsku sigurnost (i ujedno u EU-u smanjio broj korisnika interneta koji su zabrinuti oko, na primjer, plaćanja putem interneta (9));

40.

smatra da se hitno trebaju uložiti napori na lokalnoj/regionalnoj, nacionalnoj i razini EU-a kako bi se smanjile goleme financijske štete koje uzrokuje kibernetički kriminal te povećalo povjerenje potrošača;

41.

napominje da bi pri planiranju Strategije bilo korisno podrobnije razmotriti kako se može zaštititi i razvijati računalstvo u oblaku koje ima veliki gospodarski potencijal. Brzi porast upotrebe mobilnih električnih uređaja ne pokazuje znakove posustajanja. Izvješće poduzeća Gartner pokazuje da će do 2016. godine više od 50% poslovnih korisnika elektroničkoj pošti pristupati putem mobilnih uređaja. (10) Potrebno je istražiti nove probleme i mogućnosti koje sa sobom donose mobilni elektronički uređaji i računalstvo u oblaku. Nadalje, za računalstvo u oblaku potrebna je odgovarajuća arhitektura kako bi se postigla optimalna razina sigurnosti. (11) Odbor je izrazio zabrinutost zbog toga što nedavna komunikacija Europske komisije o računarstvu u oblaku nije dovoljno razrađena kada je riječ o vezi između predložene strategije i drugih pitanja, kao što su sigurna obrada podataka, zakon o autorskim pravima, razvoj dostupnosti i prijenosa podataka. (12)

42.

smatra da je, s obzirom na globalnu, međusobno povezanu i prekograničnu prijetnju koju predstavlja kibernetički kriminal, potrebno poticati međunarodnu suradnju i dijalog izvan granica EU-a kako bi se stvorio istinski globalan i koordiniran pristup kibernetičkoj sigurnosti. U tom se pogledu mora poticati države članice da se obvežu na Međunarodnu konvenciju o kibernetičkom kriminalu (Konvencija iz Budimpešte). (13) Također je važna bilateralna suradnja, osobito s SAD-om, te multilateralna suradnja s nizom međunarodnih organizacija.

43.

naglašava važnost poboljšanja koordinacije između postojećih i budućih programa financiranja poput Obzora 2020., Europskog okvira za suradnju i Fonda za unutarnju sigurnost kako bi se osigurao usklađeniji pristup ulaganjima u kibernetičko područje;

44.

se pita hoće li proračunska sredstva od 1,25 milijuna eura biti dovoljna za izdržljivu i primjerenu infrastrukturu za sigurnost mreža i informacija te je izražava svoje razočaranje zbog odluke o smanjenju sredstava namijenjenih Instrumentu za povezivanje Europe koju je Vijeće donijelo 8. veljače u sporazumu o Višegodišnjem financijskom okviru za razdoblje od 2014. do 2020. godine. Za financijsku potporu ključnoj infrastrukturi informacijskih i komunikacijskih tehnologija, koja povezuje kapacitete sigurnosti mreža i informacija država članica te olakšava suradnju unutar EU-a potrebno je osigurati jak i veći proračun.