EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52017AE4390

Mišljenje Europskog gospodarskog i socijalnog odbora o „Prijedlogu Uredbe Europskog parlamenta i Vijeća o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)” (COM(2017) 477 final/2 2017/0225 (COD))

EESC 2017/04390

OJ C 227, 28.6.2018, p. 86–94 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

28.6.2018   

HR

Službeni list Europske unije

C 227/86


Mišljenje Europskog gospodarskog i socijalnog odbora o „Prijedlogu Uredbe Europskog parlamenta i Vijeća o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”)”

(COM(2017) 477 final/2 2017/0225 (COD))

(2018/C 227/13)

Izvjestitelj:

Alberto MAZZOLA

Suizvjestitelj:

Antonio LONGO

Zahtjev za savjetovanje:

Europski parlament, 23.10.2017.

Vijeće Europske unije, 25.10.2017.

Pravni temelj:

članak 114. Ugovora o funkcioniranju Europske unije

Nadležno tijelo:

Stručna skupina za promet, energiju, infrastrukturu i informacijsko društvo

Datum usvajanja u Stručnoj skupini:

5.2.2018.

Datum usvajanja na plenarnom zasjedanju:

14.2.2018.

Plenarno zasjedanje br.:

532

Rezultat glasovanja

(za/protiv/suzdržani):

206/1/2

1.   Zaključci i preporuke

1.1.

EGSO smatra da će novi trajni mandat ENISA-e koji je predložila Komisija znatno pridonijeti povećanju otpornosti europskih sustava. Međutim, prateći privremeni proračun i sredstva dodijeljena ENISA-i neće biti dovoljni za ispunjenje mandata agencije.

1.2.

EGSO svim državama članicama preporučuje da uspostave jasan i jednakovrijedan ekvivalent ENISA-i, s obzirom na to da većina njih to još nije učinila.

1.3.

EGSO također smatra da bi, u pogledu izgradnje kapaciteta, ENISA trebala dati prednost mjerama kojima se podupire e-uprava (1). Od ključne je važnosti digitalni identitet osoba, organizacija i predmeta na europskoj i svjetskoj razini, a sprečavanje i suzbijanje krađe identiteta i internetske prevare trebali bi biti prioritet.

1.4.

EGSO preporučuje da ENISA podnosi redovita izvješća o kiberspremnosti država članica, usredotočujući se ponajprije na sektore utvrđene u Prilogu II. Direktivi NIS. Godišnjom europskom vježbom u području kibersigurnosti trebalo bi ocijeniti spremnost država članica i učinkovitost europskog mehanizma za odgovor na krizu u području kibersigurnosti te bi se na temelju toga trebale iznijeti preporuke.

1.5.

EGSO podržava prijedlog za uspostavu mreže kompetencija u području kibersigurnosti. Tu bi mrežu podupirao Europski centar za istraživanje i kompetencije u području kibersigurnosti. Ta bi mreža mogla podupirati europski digitalni suverenitet razvijajući konkurentnu europsku industrijsku osnovu za ključne tehnološke sposobnosti na temelju rada koji bi obavljalo ugovorno javno-privatno partnerstvo koje bi se trebalo razviti u tripartitno zajedničko poduzeće.

1.6.

Ljudski faktor predstavlja jedan od najvažnijih uzroka kiberincidenata. EGSO smatra da je potrebno izgraditi snažne osnove vještina u području kibersigurnosti te ujedno poboljšati kiberhigijenu, među ostalim i s pomoću kampanja za podizanje razine svijesti među pojedincima i poduzećima. EGSO podupire izradu kurikuluma za srednje škole i stručnjake, koji certificira EU.

1.7.

EGSO smatra da je za europsko jedinstveno digitalno tržište potrebno i homogeno tumačenje pravila o kibersigurnosti, uključujući uzajamno priznavanje među državama članicama, te da bi se okvirom za certifikaciju i programima za certifikaciju za različite sektore mogla osigurati minimalna zajednička osnova. Međutim, potrebno je osigurati različite pristupe za različite sektore zbog načina na koji funkcioniraju. Stoga EGSO smatra da bi se sektorske agencije EU-a (EASA, ERA, EMA itd.) trebale uključiti u postupak te u određenim slučajevima, uz suglasnost ENISA-e kako bi se zajamčila dosljednost, imati ovlasti za sastavljanje programa za kibersigurnost. Minimalni europski standardi za sigurnost informacijskih tehnologija trebaju se usvojiti u suradnji s CEN-om/Cenelec-om/ETSI-jem.

1.8.

Predviđena Europska skupina za kibersigurnosnu certifikaciju koju podupire ENISA trebala bi se sastojati od nacionalnih nadzornih tijela za certifikaciju, dionika iz privatnog sektora, uključujući operatore iz različitih područja primjene, te aktera iz područja znanosti i civilnog društva.

1.9.

EGSO smatra da bi Agencija trebala pratiti rad i donošenje odluka nacionalnih tijela za nadzor certifikacije s pomoću revizija i inspekcija u ime Komisije te da bi se u Uredbi trebale definirati odgovornost i sankcije u slučaju nepoštovanja standarda.

1.10.

EGSO smatra da aktivnosti u pogledu certifikacije ne smiju isključivati primjeren sustav označivanja koji se treba primjenjivati i na uvezene proizvode kako bi se ojačalo povjerenje potrošača.

1.11.

Europa bi trebala povećati ulaganja tako što će, u okviru snažne javno-privatne suradnje, različite fondove EU-a, nacionalne fondove i ulaganja privatnog sektora usmjeriti prema strateškim ciljevima, među ostalim osnivanjem– u tekućem i predstojećem okvirnom programu za istraživanja – fonda EU-a za inovacije, istraživanje i razvoj na području kibersigurnosti. Povrh toga, Europa bi trebala osnovati fond za uvođenje kibersigurnosti otvarajući novi odjeljak u okviru tekućeg i predstojećeg Instrumenta za povezivanje Europe i idućeg EFSU-u 3.0.

1.12.

EGSO smatra da je potrebna minimalna razina sigurnosti za „uobičajene” uređaje „interneta ljudi”. U tom je slučaju certifikacija ključna metoda za osiguravanje više razine sigurnosti. Sigurnost interneta stvari trebao bi biti prioritet.

2.   Postojeći okvir za kibersigurnost

2.1.

Kibernetička sigurnost od velike je važnosti i za prosperitet i za nacionalnu sigurnost, kao i za samo funkcioniranje naših demokracija te opstanak naših sloboda i vrijednosti. „Kibersigurnost je ekosustav u kojemu zakoni, organizacije, vještine, suradnja i tehnička provedba trebaju biti usklađeni kako bi bili najučinkovitiji”, navodi se u Globalnom indeksu kibersigurnosti UN-a, napominjući da kibersigurnost „postaje sve relevantnija u očima državnih donositelja odluka”.

2.2.

Potreba za sigurnim ekosustavom postaje ključna zbog revolucije interneta. Ta revolucija nije redefinirala samo industrije koje funkcioniraju na temelju poslovanja poduzeća s krajnjim korisnicima (B2C), kao što su mediji, maloprodaja i financijske usluge; ona također preoblikuje proizvodnju, energetiku, poljoprivredu, promet i druge industrijske sektore gospodarstva, koji zajedno predstavljaju gotovo dvije trećine globalnog bruto domaćeg proizvoda, te komunalnu infrastrukturu i interakciju građana s javnom upravom.

2.3.

Svrha je Strategije jedinstvenog digitalnog tržišta poboljšati pristup robi, uslugama i sadržaju stvaranjem odgovarajućeg pravnog okvira za digitalne mreže i usluge te iskorištavanjem prednosti gospodarstva temeljenog na podacima. Procjenjuje se da bi se zahvaljujući toj strategiji gospodarstvu EU-a moglo pridonijeti 415 milijardi eura godišnje. Predviđa se da će do 2020. u privatnom sektoru u Europi nedostajati 350 000 stručnjaka s vještinama u području kibersigurnosti (2).

2.4.

U studiji iz 2014. procjenjuje se da je gospodarski učinak kiberkriminaliteta u Uniji 2013. iznosio 0,41 % BDP-a EU-a (tj. otprilike 55 milijardi eura) (3).

2.5.

Prema Posebnom izvješću Eurobarometra 464a o stavu Europljana u pogledu kibersigurnosti, 73 % korisnika interneta zabrinuto je oko mogućnosti da njihovi podaci na internetu nisu sigurno pohranjeni na internetskim stranicama, a 65 % oko mogućnosti da ti podaci nisu sigurno pohranjeni u okviru javnih tijela. Većina ispitanika izražava zabrinutost zbog različitih oblika kiberkriminaliteta, posebice zbog zlonamjernog softvera na svojim uređajima (69 %), krađe identiteta (69 %) i prevara povezanih s bankovnim karticama i internetskim bankarstvom (66 %) (4).

2.6.

Do sada nijedan pravni okvir nije mogao ići ukorak s razvojem digitalnih inovacija, a brojni pravni tekstovi postupno pridonose uspostavi odgovarajućeg okvira: revizija Zakona o telekomunikacijama, Opća uredba o zaštiti podataka (GDPR), Direktiva o sigurnosti mrežnih i informacijskih sustava (Direktiva NIS), Uredba o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu (Uredba e-IDAS), europsko-američki sustav zaštite privatnosti, Direktiva o prijevarama u vezi s bezgotovinskim plaćanjem itd.

2.7.

Osim ENISA-e, „agencije EU-a za kibersigurnost”, postoje mnoge različite organizacije koje se bave pitanjima kibersigurnosti: Europol; CERT-EU (tim za hitne računalne intervencije europskih institucija, tijela i agencija); Centar EU-a za analizu obavještajnih podataka (EU INTCEN); Europska agencija za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA); centri za razmjenu i analizu informacija (ISAC); Europska organizacija za kibersigurnost (ECSO); Europska obrambena agencija (EDA); NATO-ov Centar izvrsnosti za suradnju u području kiberobrane; UN GGE (UN-ova skupina vladinih stručnjaka za razvoj u području informacija i telekomunikacija u kontekstu međunarodne sigurnosti).

2.8.

Osmišljena sigurnost ključna je za osiguravanje visokokvalitetne robe i usluga: pametni uređaji nisu toliko pametni ako nisu osigurani, a isto vrijedi i za pametne automobile, pametne gradove i pametne bolnice – sve to zahtijeva ugrađenu sigurnost za uređaje, sustave, strukturu i usluge.

2.9.

Nakon predloženog paketa reformi Europsko vijeće zatražilo je 19. i 20. listopada 2017. usvajanje zajedničkog pristupa kibersigurnosti EU-a pozivajući na „zajednički pristup kibersigurnosti: digitalni svijet zahtijeva povjerenje, a povjerenje se može postići samo ako zajamčimo proaktivniju osmišljenu sigurnost u svim digitalnim politikama, pružimo odgovarajuću sigurnosnu certifikaciju proizvoda i usluga te povećamo svoju sposobnost za sprečavanje, odvraćanje, otkrivanje i odgovor na kibernapade” (5).

2.10.

Europski parlament u svojoj Rezoluciji od 17. svibnja 2017.„naglašava potrebu za sigurnošću s kraja na kraj u cijelom lancu vrijednosti financijskih usluga; upozorava na velike i raznovrsne rizike koje predstavljaju kibernapadi usmjereni na infrastrukturu naših financijskih tržišta, internet stvari, valute i podatke; […] poziva europska nadzorna tijela da redovito preispituju postojeće operativne standarde koji obuhvaćaju rizike financijskih institucija na području IKT-a; nadalje poziva na smjernice europskih nadzornih tijela za nadziranje tih rizika; ističe važnost tehnološkog znanja i iskustva europskih nadzornih tijela” (6).

2.11.

EGSO se već u nekoliko prilika bavio tim pitanjem (7), primjerice prilikom sastanka na vrhu u Tallinnu i konferencije o budućem razvoju e-uprave (8), te je osnovao Stalnu studijsku skupinu za Digitalnu agendu.

3.   Prijedlozi Komisije

3.1.

Paket za kibersigurnost obuhvaća zajedničku komunikaciju kojom se preispituje prethodna Europska strategija za kibersigurnost (2013.) te Akt o kibersigurnosti, usredotočen na novi mandat ENISA-e i predloženi okvir za certifikaciju.

3.2.

Strategija je strukturirana u tri glavna dijela: otpornost, odvraćanje i međunarodna suradnja. Dio koji se odnosi na odvraćanje uglavnom se bavi pitanjima kiberkriminaliteta, uključujući Konvenciju iz Budimpešte, a dio koji se odnosi na međunarodnu suradnju bavi se kiberobranom, kiberdiplomacijom i suradnjom s NATO-om.

3.3.

Prijedlogom se uvode nove inicijative, kao što su:

uspostava snažnije agencije EU-a za kibersigurnost,

uvođenje programa kibersigurnosne certifikacije na razini EU-a,

brza provedba Direktive NIS.

3.4.

U dijelu koji se odnosi na otpornost predlažu se mjere povezane s kibersigurnošću koje se posebice bave tržišnim pitanjima, Direktivom NIS, brzim djelovanjem u hitnim slučajevima, razvojem sposobnosti EU-a, obrazovanjem, osposobljavanjem (u području kibervještina i kiberhigijene) i podizanjem svijesti.

3.5.

Usporedno s time, u Aktu o kibersigurnosti predlaže se stvaranje okvira EU-a za kibersigurnosnu certifikaciju za proizvode i usluge IKT-a.

3.6.

U njemu se predlaže i veća uloga ENISA-e kao agencije EU-a za kibersigurnost te se Agenciji daje trajni mandat. Osim trenutačnih odgovornosti, od ENISA-e se očekuje da preuzme nove zadatke u pogledu potpore i koordinacije povezane s potporom provedbi Direktive NIS, Strategijom EU-a za kibersigurnost, Planom, izgradnjom kapaciteta, znanjem i informacijama, podizanjem razine svijesti, zadacima povezanim s tržištem, kao što je potpora za standardizaciju i certifikaciju, istraživanjem i inovacijama, paneuropskim vježbama u području kibersigurnosti i tajništvom mreže timova za odgovor na računalne sigurnosne incidente (CSIRT).

4.   Opće napomene – pregled

4.1.    Kontekst: otpornost

4.1.1.   Jedinstveno kibersigurnosno tržište

Dužna pažnja: razrađivanje predloženog načela „dužne pažnje” navedenog u zajedničkoj komunikaciji za uporabu postupaka sigurnog razvojnog ciklusa zanimljiv je koncept koji se treba razviti u okviru industrije EU-a, a koji bi mogao dovesti do sveobuhvatnog pristupa za pravnu usklađenost u EU-u. U budućem razvoju potrebno je razmotriti mogućnost zadane sigurnosti (eng. security by default).

Odgovornost: certifikacija će pomoći u olakšavanju utvrđivanja odgovornosti u slučaju spora.

4.1.2.

Direktiva NIS: energija, promet, bankarstvo/financije, zdravstvo, voda, digitalna infrastruktura, e-trgovina.

EGSO smatra da je potpuna i učinkovita provedba Direktive NIS nužna za osiguravanje otpornosti ključnih nacionalnih sektora.

EGSO smatra da bi se razmjena informacija između javnih i privatnih aktera trebala ojačati s pomoću sektorskih centara za razmjenu i analizu informacija (ISAC). Potrebno je razviti odgovarajući mehanizam za sigurnu razmjenu povjerljivih informacija unutar pojedinačnih ISAC-a i između CSIRT-a i ISAC-ova, na temelju procjene/analize mehanizma koji se trenutačno upotrebljava.

4.1.3.   Brzo djelovanje u hitnim slučajevima

Pristup koji se koristi u „Planu” osigurao bi učinkovit postupak za operativni odgovor na razini EU-a i država članica u slučaju incidenta velikih razmjera. Odbor naglašava potrebu za uključivanjem privatnog sektora. Također je potrebno uzeti u obzir operatore ključnih usluga u mehanizmu za operativni odgovor jer bi oni mogli pružiti vrijedne informacije o prijetnjama i/ili potporu u otkrivanju i odgovaranju na prijetnje i velike krize.

U zajedničkoj komunikaciji predlaže se uključivanje kiberincidenata u mehanizme EU-a za upravljanje krizom. Iako EGSO razumije potrebu za zajedničkim odgovorom i solidarnošću u slučaju napada, potrebno je bolje razumijevanje načina na koji bi se to moglo primijeniti jer se kiberprijetnje obično šire iz zemlje u zemlju. Alati koji se upotrebljavaju u hitnim slučajevima na nacionalnoj razini mogli bi se upotrijebiti samo djelomično u slučaju potrebe na lokanoj razini.

4.1.4.   Razvijanje kompetencija EU-a

Ako se želi da EU bude istinski konkurentan na globalnoj razini i da izgradi čvrstu tehnološku osnovu, od ključne je važnosti stvoriti dosljedan, dugoročan okvir koji obuhvaća sve faze vrijednosnog lanca u području kibersigurnosti. U tom pogledu poticanje suradnje između europskih regionalnih ekosustava ključno je za razvoj europskog vrijednosnog lanca u području kibersigurnosti. EGSO pozdravlja prijedlog za uspostavljanje mreže kompetencija u području kibersigurnosti.

Ta bi mreža mogla podupirati europski digitalni suverenitet razvijajući konkurentnu europsku industrijsku osnovu i smanjujući ovisnost o znanju i iskustvima do kojih se dolazi izvan EU-a u pogledu ključnih tehnoloških sposobnosti, organizirati tehničke vježbe, radionice, pa čak i obuku na polju osnovne kiberhigijene za stručnjake i nestručnjake te – na temelju rada ugovornog PPP-a – poticati razvoj mreže nacionalnih javno-privatnih organizacija za potporu razvoja tržišta u Europi. „Unapređenje ugovornog PPP-a trebalo bi dovesti do njegove optimizacije, prilagodbe ili širenja” (Program rada za kibersigurnost trija predsjedništava EE-BG-AT), i to pomoću uspostave tripartitnog zajedničkog poduzeća (Komisija, države članice, poduzeća).

Kako bi bila učinkovita i kako bi se njome postigli predloženi ciljevi na europskoj razini, mreža se treba oslanjati na dobro utvrđen sustav upravljanja.

Tu mrežu podupirao bi Europski centar za istraživanje i kompetencije u području kibersigurnosti (CRCC) na europskoj razini, povezujući postojeće nacionalne centre za kompetencije u cijelom EU-u. CRCC ne bi samo koordinirao i upravljao istraživanjem kao u drugim zajedničkim poduzećima nego bi i omogućavao učinkovit razvoj europskog kibersigurnosnog ekosustava kojim bi se podupirala provedba i širenje inovacija EU-a.

4.2.    Kontekst: odvraćanje

4.2.1.

Borba protiv kiberkriminaliteta glavni je prioritet na nacionalnoj i europskoj razini i zahtijeva snažnu političku predanost. Aktivnosti odvraćanja trebale bi se provoditi na temelju snažnog partnerstva između javnog i privatnog sektora, uz uspostavljanje učinkovite razmjene informacija i iskustava na nacionalnoj i europskoj razini. Mogla bi se predvidjeti mogućnost širenja aktivnosti Europola u području kiberforenzike i praćenja.

4.3.    Kontekst: međunarodna suradnja

4.3.1.

Izgradnja i održavanje pouzdane suradnje s trećim zemljama putem kiberdiplomacije i poslovnih partnerstava ključni su za jačanje sposobnosti Europe da spriječi i odvrati velike kibernapade te odgovori na njih. Europa bi trebala razvijati suradnju s SAD-om, Kinom, Izraelom, Indijom i Japanom. Modernizacijom kontrole izvoza EU-a trebalo bi se izbjeći kršenja ljudskih prava ili zlouporaba tehnologija na štetu sigurnosti EU-a, no također bi se trebalo zajamčiti da se industrija EU-a ne stavlja u nepovoljan položaj u odnosu na ponude iz trećih zemalja. Potrebno je predvidjeti ad hoc strategiju za zemlje pristupnice radi pripreme za razmjenu osjetljivih prekograničnih podataka, uključujući mogućnost da te zemlje kao promatrači sudjeluju u nekim aktivnostima zemalja ENISA-e; njih bi trebalo rangirati prema spremnosti na borbu protiv kiberkriminaliteta te možda i predvidjeti „crnu listu”.

4.3.2.

EGSO pozdravlja uvođenje kiberobrane u predviđenu drugu fazu mogućeg budućeg centra EU-a za kompetencije u području kibersigurnosti. Iz tog bi razloga Europa u međuvremenu mogla razmotriti razvijanje kompetencija za dvojnu namjenu, uključujući uporabu Europskog fonda za obranu i uspostavljanje platforme za osposobljavanje i obrazovanje u području kiberobrane, planirano do kraja 2018. Imajući u vidu potencijal i prijetnje koje obje strane prepoznaju, EGSO smatra da je nužno razviti suradnju između EU-a i NATO-a, a europska bi industrija također trebala pomno pratiti razvoj suradnje EU-a i NATO-a u pogledu povećane interoperabilnosti kibersigurnosnih standarda, kao i drugih oblika suradnje u kontekstu pristupa EU-a kiberobrani.

4.4.    Okvir EU-a za certifikaciju

4.4.1.

EGSO smatra da Europa treba riješiti problem rascjepkanosti na polju kibersigurnosti uz pomoć homogenog tumačenja pravila, uključujući uzajamno priznavanje među državama članicama u sklopu jedinstvenog okvira kako bi se olakšala zaštita jedinstvenog digitalnog tržišta. Okvirom za certifikaciju mogla bi se zajamčiti zajednička osnova (po potrebi sa specifičnim propisima na višim razinama) te osigurati sinergije među vertikalnim sektorima i smanjiti postojeća rascjepkanost.

4.4.2.

EGSO pozdravlja stvaranje okvira EU-a za kibersigurnosnu certifikaciju i programa za certifikaciju za različite sektore na temelju odgovarajućih zahtjeva te u suradnji s glavnim dionicima. Međutim, rokovi za stavljanje na tržište i troškovi certifikacije, kao i kvaliteta i sigurnost, ključni su elementi koji se trebaju razmotriti. Programi za certifikaciju uspostavit će se radi povećanja sigurnosti u skladu s postojećim potrebama i saznanjima o prijetnjama: trebaju se uzeti u obzir fleksibilnost i mogućnost za razvijanje tih programa kako bi se omogućilo potrebno ažuriranje. Potrebno je osigurati različite pristupe za različite sektore zbog načina na koji funkcioniraju. Stoga EGSO smatra da bi se sektorske agencije EU-a (EASA, EBA, ERA, EMA itd.) trebale uključiti u postupak te u određenim slučajevima, uz suglasnost ENISA-e kako bi se izbjeglo dupliciranje i nedosljednost, imati ovlasti za razradu programa za kibersigurnost.

4.4.3.

Odbor smatra da je važno da se okvir za certifikaciju temelji na zajednički utvrđenim europskim standardima za kibersigurnost i IKT koji bi, u mjeri u kojoj je to moguće, bili međunarodno priznati. Uzimajući u obzir vremenski okvir i nacionalne ovlasti, potrebno je usvojiti minimalne europske standarde za sigurnost informacijskih tehnologija u suradnji s CEN-om/Cenelec-om/ETSI-jem. Profesionalni standardi trebaju se razmotriti u pozitivnom duhu, ali ne smiju biti pravno obvezujući niti narušavati konkurentnost.

4.4.4.

Postoji jasna potreba da se odgovornost poveže s različitim razinama osiguranja, ovisno o utjecaju prijetnji. Otvaranje dijaloga s osiguravajućim društvima moglo bi biti korisno za usvajanje učinkovitih zahtjeva za kibersigurnost, ovisno o sektoru primjene. Prema mišljenju EGSO-a, poduzeća koja zahtijevaju „visoku razinu osiguranja” trebala bi se podupirati i poticati, posebice kada je riječ o životno važnim uređajima i sustavima.

4.4.5.

S obzirom na vrijeme koje je proteklo od usvajanja Direktive 85/374/EEZ (9) te uzimajući u obzir tehnološki razvoj, EGSO poziva Komisiju da razmotri relevantnost uključivanja u područje primjene Direktive nekih od scenarija iznesenih u ovom prijedlogu uredbe, kako bi se osigurali sigurniji proizvodi s visokom razinom zaštite.

4.4.6.

EGSO smatra da bi se predviđena Europska skupina za kibersigurnosnu certifikaciju, koju podupire ENISA, trebala sastojati od nacionalnih nadzornih tijela za certifikaciju, dionika iz privatnog sektora i operatora iz različitih područja primjene kako bi se zajamčila izrada sveobuhvatnih programa za certifikaciju. Osim toga, treba predvidjeti suradnju između te skupine i sektorskih udruga EU-a/EGP-a (npr. ugovorni PPP, bankarstvo, promet, energija, savezi itd.) putem imenovanja stručnjaka. Ta bi skupina trebala moći razmotriti europska postignuća na polju certifikacije (uglavnom na temelju sporazuma o uzajamnom priznavanju Skupine viših dužnosnika za sigurnost informacijskih sustava (SOG-IS), nacionalnih i privatnih programa) i nastojati očuvati europsku konkurentnu prednost.

4.4.7.

EGSO predlaže da se toj skupini dionika dodijeli odgovornost za pripremu programa za certifikaciju u suradnji s Europskom komisijom. Potrebno je također utvrditi sektorske zahtjeve s pomoću sporazumnog dogovora između javnih i privatnih dionika (korisnici i dobavljači).

4.4.8.

Osim toga, skupina treba redovito pregledavati programe za certifikaciju, uzimajući u obzir zahtjeve svakog sektora, te ih po potrebi prilagođavati.

4.4.9.

EGSO podupire postupno ukidanje nacionalnih programa za certifikaciju kada se uvede europski program, kako je predloženo u članku 49. Uredbe. Jedinstveno tržište ne može funkcionirati s različitim i suparničkim nacionalnim pravilima. U tu svrhu EGSO predlaže popisivanje svih nacionalnih programa.

4.4.10.

EGSO predlaže da Komisija pokrene mjere za promicanje kibersigurnosne certifikacije i certifikata u EU-u te da podupire njihovo priznavanje u svim međunarodnim trgovinskim sporazumima.

4.5.    ENISA

4.5.1.

EGSO smatra da će novi trajni mandat ENISA-e koji je predložila Komisija znatno pridonijeti povećanju otpornosti europskih sustava. Međutim, prateći privremeni proračun i sredstva dodijeljena preustrojenoj ENISA-i možda neće biti dovoljni za ispunjenje mandata Agencije.

4.5.2.

EGSO potiče sve države članice da uspostave jasan ekvivalent sličan ENISA-i s obzirom na to da većina njih to još nije učinila. Strukturirani program upućivanja nacionalnih stručnjaka u ENISA-u treba promicati kako bi se poduprla razmjena najboljih praksi i jačanje povjerenja. Odbor također preporučuje da Komisija osigura da se postojeće dobre prakse i učinkovite mjere na snazi u državama članicama prikupljaju i razmjenjuju.

4.5.3.

EGSO također smatra da bi u pogledu izgradnje kapaciteta ENISA trebala dati prednost mjerama kojima se podupire e-uprava (10). Od ključne je važnosti digitalni identitet osoba, organizacija, trgovačkih društava i predmeta na europskoj i svjetskoj razini, a sprečavanje i suzbijanje krađe identiteta i internetskih prevara, kao i suzbijanje krađe industrijskog intelektualnog vlasništva, trebali bi biti prioritet.

4.5.4.

ENISA bi također trebala podnositi redovita izvješća o kiberspremnosti država članica, usredotočujući se ponajprije na sektore utvrđene u Prilogu II. Direktivi NIS. Godišnjom europskom vježbom u području kibersigurnosti trebalo bi procijeniti spremnost država članica i učinkovitost europskog mehanizma za odgovor na krizu u području kibersigurnosti te bi se na temelju toga trebale iznijeti preporuke.

4.5.5.

EGSO je zabrinut da su sredstva previše ograničena kad je posrijedi operativna suradnja, uključujući mrežu CSIRT-ova.

4.5.6.

U pogledu zadataka koji se tiču tržišta, EGSO smatra da bi se poticanjem suradnje s državama članicama i uspostavom službene mreže agencija za kibersigurnost pridonijelo potpori suradnje među dionicima (11). Rokovi za stavljanje na tržište vrlo su kratki, a za poduzeća EU-a ključno je da se mogu natjecati na tom području pa ENISA mora biti u stanju reagirati u skladu s time. EGSO smatra da bi ENISA, kao i druge agencije EU-a, mogla u budućnosti primjenjivati sustav naknada i pristojbi. EGSO je zabrinut da bi suparništvo za nadležnost između agencija EU-a i nacionalnih agencija moglo odgoditi istinsku uspostavu regulatornog okvira EU-a i štetiti jedinstvenom tržištu EU-a, kako se dogodilo u drugim područjima.

4.5.7.

EGSO primjećuje da su zadaci koji se odnose na istraživanje i inovacije te na međunarodnu suradnju trenutačno minimalni.

4.5.8.

EGSO smatra da bi kibersigurnost trebala biti predmetom redovite rasprave tijekom redovnih zajedničkih sastanaka agencija za pravosuđe i unutarnje poslove te da bi ENISA i Europol trebali redovito surađivati.

4.5.9.

Budući da je kibernetički svijet vrlo inovativan, potrebno je pozorno razmotriti standarde kako bi se izbjeglo kočenje inovacija, koje iziskuju dinamičan okvir; potrebno je u što većoj mjeri zajamčiti buduću i retroaktivnu kompatibilnost kako bi se zaštitili građani i ulaganja poduzeća.

4.5.10.

Zbog važnosti nacionalnih tijela za nadzor certifikacije EGSO predlaže da bi se Uredbom već trebala uspostaviti službena mreža tijela ovlaštenih za rješavanje prekograničnih pitanja uz potporu ENISA-e. Mreža bi se u kasnijoj fazi mogla razviti u samostalnu agenciju.

4.5.11.

Povjerenje je od presudne važnosti, ali ENISA ne smije donositi odluke niti podnositi izvješća o reviziji. EGSO smatra da bi Agencija trebala pratiti rad i donošenje odluka nacionalnih tijela za nadzor certifikacije s pomoću revizija i inspekcija u ime Komisije.

4.5.12.

Sudjelovanje u upravnom odboru ENISA-e, sa statusom promatrača, trebalo bi se proširiti na industriju i organizacije za zaštitu potrošača.

4.6.    Industrija, MSP-ovi, financiranje/ulaganja i inovativni poslovni modeli

4.6.1.   Industrija i ulaganja

Kako bi se povećala globalna konkurentnost poduzeća EU-a koja posluju u području IKT-a, mjere se trebaju usmjeriti prema boljoj potpori rastu i konkurentnosti industrije IKT-a, uključujući rast i konkurentnost MSP-ova.

Europa bi trebala povećati ulaganja tako što će, u okviru snažne javno-privatne suradnje, različite fondove EU-a, nacionalne fondove i ulaganja privatnog sektora usmjeriti prema strateškim ciljevima. Razina ulaganja u ključnim područjima treba se povećati i poduprijeti osnivanjem – u tekućem i predstojećem okvirnom programu za istraživanja – fonda EU-a za inovacije, istraživanje i razvoj na području kibersigurnosti. Povrh toga, Europa bi trebala osnovati fond za uvođenje kibersigurnosti otvarajući novi odjeljak u okviru tekućeg i predstojećeg Instrumenta za povezivanje Europe i idućeg EFSU-u 3.0.

Potrebno je stvoriti poticaje za države članice EU-a da kupuju europska rješenja kada je to moguće i da, ako postoje, odabiru europske dobavljače, posebice za osjetljive primjene. Europa bi trebala podupirati rast europskih „kiberprvaka” koji se mogu natjecati na globalnom tržištu.

4.6.2.   MSP-OVI

Zbog rascjepkanosti tržišta potrebna je veća jasnoća u pogledu potražnje klijenata kako bi se bolje odgovaralo na potrebe tržišta. Bez strukturirane potražnje, MSP-ovi i novoosnovana poduzeća ne mogu rasti brzim ritmom. U tom bi kontekstu uspostava europskog kibersigurnosnog centra za MSP-ove bio pozitivan korak.

Tehnologija kibersigurnosti brzo se mijenja, a MSP-ovi, zahvaljujući svojoj fleksibilnosti, mogu pružiti najsuvremenija rješenja potrebna za održavanje konkurentnosti. U usporedbi s trećim zemljama, EU i dalje traži odgovarajući poslovni model za MSP-ove.

Mogli bi se osmisliti posebni programi za novoosnovana poduzeća i MSP-ove radi pokrivanja dijela troškova certificiranja kako bi se ublažile velike teškoće u prikupljanju sredstava za njihov tehnološki i komercijalni razvoj.

4.7.    Ljudski faktor: obrazovanje i zaštita

4.7.1.

EGSO napominje da prijedlog Komisije ne uzima dovoljno u obzir ljude kao pokretače digitalnih procesa, kao korisnike ili kao uzročnike velikih kiberincidenata.

4.7.2.

Potrebno je izgraditi snažnu osnovu za vještine u području kibersigurnosti te poboljšati kiberhigijenu i podići svijest među pojedincima i poduzećima. Kako bi se to postiglo, potrebno je razmotriti namjenska ulaganja, vrijeme potrebno za osposobljavanje instruktora visoke razine i učinkovite kampanje za podizanje svijesti. Provedba tih triju smjerova djelovanja iziskuje uključenost nacionalnih i regionalnih tijela (odgovornih za uspostavu i ulaganje u učinkovite obrazovne programe) te poduzeća i MSP-ova u zajednički pristup.

4.7.3

Treba predvidjeti stvaranje mogućeg kurikuluma za srednje škole i stručnjake koji bi certificirao EU, uz aktivno sudjelovanje ENISA-e i ekvivalentnih tijela na nacionalnoj razini. Osim toga, pri razvijanju obrazovnih programa potrebno je uzeti u obzir rodnu ravnopravnost radi poboljšanja razine zaposlenosti na području kibersigurnosti.

4.7.4.

EGSO smatra da je postupak certificiranja mora obuhvaćati odgovarajući sustav označivanja i za hardver i za softver, kao što je to slučaj s brojnim drugim proizvodima (npr. energetskim proizvodima). Taj će instrument donijeti trostruku korist: smanjenje troškova za poduzeća, prevladavanje postojeće fragmentacije tržišta uzrokovane različitim sustavima certificiranja usvojenim na nacionalnoj razini te omogućavanje potrošačima da bolje razumiju kvalitetu i značajke kupljene robe. U tom pogledu, važno je da proizvodi uvezeni iz trećih zemalja podliježu istim mehanizmima certificiranja i označivanja. Naposljetku, EGSO smatra da bi uvođenje ad hoc logotipa moglo biti učinkovit način trenutnog informiranja potrošača i korisnika o pouzdanosti kupljenih proizvoda ili prodajnih internetskih stranica, ili internetskih stranica na kojima se prenose osjetljivi podaci.

4.7.5.

ENISA bi trebala predvoditi osnovnu višerazinsku kampanju za informiranje i podizanje svijesti kako bi se povećalo znanje o „sigurnom” ponašanju u kibernetičkom svijetu te povjerenje korisnika u internet. U tu se svrhu moraju uključiti poslovne udruge, udruge za zaštitu potrošača i druga tijela za digitalne usluge.

4.7.6.

Kao što je već predloženo u mišljenju INT/828, EGSO smatra da je uz Akt o kibersigurnosti od presudne važnosti što prije pokrenuti opsežan paneuropski program za digitalno obrazovanje i osposobljavanje, čime bi se svima osigurali alati potrebni za suočavanje s tranzicijom. Svjestan posebnih nacionalnih kompetencija na tom području, EGSO se nada da će taj program krenuti od škola, uz jačanje znanja nastavnog kadra i prilagođavanje obrazovnih programa i didaktike digitalnim tehnologijama (uključujući e-učenje), te da će svim učenicima osigurati visokokvalitetno osposobljavanje. Taj će program naravno uključivati mogućnost kontinuiranog učenja u svrhu prilagođavanja ili usavršavanja kompetencija svih radnika (12).

5.   Posebne napomene

5.1.    Nove tehnologije i rješenja: slučaj interneta stvari

Broj povezanih uređaja stalno raste i očekuje se da će zbog digitalizacije komponenti, sustava i rješenja te povećanog povezivanja dostići broj veći od broja stanovnika na Zemlji. Taj trend stvara nove mogućnosti za kiberprekršitelje, posebice zato što uređaji interneta stvari često nisu tako dobro zaštićeni kao tradicionalni uređaji.

Primjena europskih sigurnosnih standarda u različitim vertikalama koje upotrebljavaju uređaje interneta stvari može smanjiti napor, vrijeme i proračun koje u razvoj ulažu svi industrijski sudionici u lancu vrijednosti povezanih proizvoda.

Određeni oblik minimalne razine sigurnosti s pomoću IDAM-a (upravljanje identitetom i pristupom), sigurnosni popravci i upravljanje uređajima vjerojatno će biti potrebni za „uobičajene” uređaje „interneta ljudi”. Budući da je certificiranje ključni način osiguravanja više razine sigurnosti, u novom pristupu EU-a certifikaciji potrebno je staviti veći naglasak na sigurnost interneta stvari.

Bruxelles, 14. veljače 2018.

Predsjednik Europskog gospodarskog i socijalnog odbora

Georges DASSIS


(1)  Jedinstveno digitalno tržište – preispitivanje na sredini provedbenog razdoblja

(2)  SL JOIN/2017/0450 final.

(3)  Radni dokument službi Komisije – procjena učinka, priložena Prijedlogu uredbe Europskog parlamenta i Vijeća, dio 1/6, str. 21., Bruxelles, 13.9.2017.

(4)  Posebno izvješće Eurobarometra 464a – Wave EB87.4 – Stav Europljana u pogledu kibersigurnosti, rujan 2017.

(5)  Zaključci Europskog vijeća od 19. listopada 2017.

(6)  Rezolucija Europskog parlamenta, 17.5.2017. – A8-0176/2017.

(7)  Jedinstveno digitalno tržište – preispitivanje na sredini provedbenog razdoblja.SL C 75, 10.3.2017., str. 124,, SL C 246, 28.7.2017., str. 8., SL C 345, 13.10.2017., str. 52., SL C 288, 31.8.2017., str. 62., SL C 271, 19.9.2013., str. 133.

(8)  Priopćenje za medije EGSO-a br. 31/2017 Civilno društvo raspravlja o e-upravi i kibersigurnosti s estonskim predsjedništvom koje preuzima predsjedanje Vijećem EU-a: https://www.eesc.europa.eu/en/news-media/press-releases/civil-society-debates-e-government-and-cybersecurity-incoming-estonian-presidency.

(9)  SL L 210, 7.8.1985., str. 29.

(10)  Jedinstveno digitalno tržište – preispitivanje na sredini provedbenog razdoblja

(11)  SL C 75, 10.3.2017., str. 124.

(12)  Jedinstveno digitalno tržište – preispitivanje na sredini provedbenog razdoblja


Top