EUROPSKA KOMISIJA
Bruxelles, 13.9.2017.
COM(2017) 478 final
IZVJEŠĆE KOMISIJE EUROPSKOM PARLAMENTU I VIJEĆU
o ocjeni Agencije Europske unije za mrežnu i informacijsku sigurnost (ENISA)
EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52017DC0478
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the evaluation of the European Union Agency for Network and Information Security (ENISA)
IZVJEŠĆE KOMISIJE EUROPSKOM PARLAMENTU I VIJEĆU o ocjeni Agencije Europske unije za mrežnu i informacijsku sigurnost (ENISA)
IZVJEŠĆE KOMISIJE EUROPSKOM PARLAMENTU I VIJEĆU o ocjeni Agencije Europske unije za mrežnu i informacijsku sigurnost (ENISA)
COM/2017/0478 final
EUROPSKA KOMISIJA
Bruxelles, 13.9.2017.
COM(2017) 478 final
IZVJEŠĆE KOMISIJE EUROPSKOM PARLAMENTU I VIJEĆU
o ocjeni Agencije Europske unije za mrežnu i informacijsku sigurnost (ENISA)
1.Uvod
1.1 O ENISA-i
Agencija Europske unije za mrežnu i informacijsku sigurnost (ENISA) osnovana je 2004. i njezin je mandat nekoliko puta obnovljen. Trenutačni mandat ENISA-e utvrđen je Uredbom (EU) br. 526/2013 1 (Uredba o ENISA-i) i istječe 19. lipnja 2020.
Mandat ENISA-e jest pridonijeti visokoj razini mrežne i informacijske sigurnosti u Uniji. U Uredbi o ENISA-i navedeni su posebni ciljevi Agencije i utvrđeno je da ona:
·razvija i održava visoku razinu stručnosti,
·pomaže institucijama, tijelima, uredima i agencijama Unije u razvoju politika u vezi s mrežnom i informacijskom sigurnošću,
·pomaže institucijama, tijelima, uredima i agencijama Unije i državama članicama u provedbi politika potrebnih za ispunjavanje pravnih i regulatornih zahtjeva u vezi s mrežnom i informacijskom sigurnošću u skladu s postojećim i budućim pravnim aktima Unije te na taj način pridonosi pravilnom funkcioniranju unutarnjeg tržišta,
·pomaže Uniji i državama članicama u poboljšanju i jačanju njihovih sposobnosti i pripravnosti za sprečavanje i otkrivanje problema i incidenata povezanih s mrežnom i informacijskom sigurnošću te za odgovor na njih,
·koristi se svojim stručnim znanjima kako bi potaknula široku suradnju između izvršitelja iz javnog i privatnog sektora.
Nadalje, Direktivom (EU) br. 2016/1148 2 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (Direktiva NIS), suzakonodavci EU-a odlučili su ENISA-i dodijeliti važne uloge u provedbi zakonodavstva. Agencija posebno mreži CSIRT-ova (uspostavljena u cilju promicanja brze i učinkovite operativne suradnje među državama članicama) osigurava tajništvo i od nje se traži da pomaže skupini za stratešku suradnju pri izvršavanju njezinih zadaća. Nadalje, Direktivom NIS zahtijeva se od ENISA-e da pomaže državama članicama i Komisiji pružanjem stručnog znanja i savjetovanjem te olakšavanjem razmjene najbolje prakse.
Sjedište je Agencije u Grčkoj, njezino je administrativno središte u Heraklionu (Kreta), a operativno središte u Ateni. U njoj su zaposlene 84 osobe, a njezin godišnji proračun iznosi 11,25 milijuna EUR. Na čelu Agencije nalazi se izvršni direktor i njome upravljaju Upravljački odbor, Izvršni odbor i Stalna interesna skupina. Neformalna mreža nacionalnih službenika za vezu olakšava komunikaciju s državama članicama.
1.2. Svrha izvješća
Člankom 32. Uredbe o ENISA-i od Komisije se zahtijeva da provede ocjenjivanje ENISA-e do 20. lipnja 2018. „posebno kako bi procijenila učinak, djelotvornost i učinkovitost Agencije i njezinih načina rada” i ispitala treba li produljiti postojeći mandat.
Budući da su se u području kibersigurnosti dogodile znatne promjene od 2013., kada je donesena Uredba o ENISA-i, i uzimajući u obzir postignutu razinu zrelosti na razini politike te na tržišnoj i tehnološkoj razini, Komisija je u svojoj Komunikaciji iz 2016. o jačanju europskog sustava kibernetičke sigurnosti i poticanju konkurentne i inovativne industrije kibernetičke sigurnosti 3 najavila da će provesti ocjenjivanje i preispitivanje ENISA-e. Komisija je posebno napomenula da bi se preispitivanjem ENISA-e omogućilo moguće jačanje njezinih sposobnosti i kapaciteta za održivo podupiranje država članica u postizanju kiberotpornosti.
Ta je vizija dodatno potvrđena u Zaključcima Vijeća iz 2016. 4 u kojima se potvrđuje da se „kiberprijetnje i kiberslabosti nastavljaju razvijati i jačati što će zahtijevati trajnu i bližu suradnju, posebice u pogledu suočavanja s prekograničnim kiberincidentima velikih razmjera”. U zaključcima je potvrđeno da je „Uredba o ENISA-i jedan od temeljnih elemenata okvira kiberotpornosti EU-a”.
Rezultati ocjenjivanja ENISA-e uzeti su u obzir u procjeni učinka uz Prijedlog Uredbe Europskog parlamenta i Vijeća o Agenciji Europske unije za mrežnu i informacijsku sigurnost (ENISA, „Agencija EU-a za kibersigurnost”) i stavljanju izvan snage Uredbe (EU) 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”).
U skladu s člankom 32. Uredbe o ENISA-i Komisija prosljeđuje izvješće o ocjenjivanju zajedno s njegovim zaključcima Europskom parlamentu, Vijeću i Upravljačkom odboru. To sažeto izvješće popraćeno je Radnim dokumentom službi Komisije o ocjenjivanju Agencije Europske unije za mrežnu i informacijsku sigurnost (SWD(2017) 502).
2.Glavni nalazi ocjenjivanja
U skladu s Komisijinim Smjernicama za bolju regulativu 5 , tijekom ocjenjivanja ocjenjivala se djelotvornost, učinkovitost, usklađenost, relevantnost i dodana vrijednost Agencije uzimajući u obzir njezinu uspješnost, upravljanje, ustrojstvo i praksu rada.
Tijekom analize vodilo se računa i o tome da se promijenilo okruženje u kojem Agencija djeluje, a posebno o sljedećem: novom regulatornom okviru i okviru politike (npr. Direktiva NIS, Preispitivanje strategije EU-a za kibersigurnost), potrebama zajednice dionika Agencije koje se mijenjaju te o komplementarnosti i mogućim sinergijama s radom drugih institucija, agencija i tijela na razini EU-a i nacionalnoj razini, kao što je tim za odgovor na računalne sigurnosne incidente institucija, agencija i tijela EU-a (CERT-EU) i Europski centar za kiberkriminal (EC3) pri Europolu.
Kako bi ocijenila funkcioniranje Agencije
·Komisija je naručila neovisnu studiju koja se provodila od studenoga 2016. do srpnja 2017. i koja, uz unutarnju analizu koju je provela Komisija, služi kao osnova za ocjenjivanje,
·aktivnosti u okviru studije uključivale su uredsko istraživanje, prikupljanje podataka i analizu, uključujući ankete među dionicima, opsežne razgovore s ključnim sudionicima u području kibersigurnosti, radionicu s dionicima, utvrđivanje referentnih vrijednosti, utvrđivanje položaja Agencije i analizu prednosti, nedostataka, prilika i prijetnji (SWOT).
·Komisija je provela i javno savjetovanje na internetu u trajanju od 12 tjedana, kojim su obuhvaćeni ex-post ocjenjivanje i budućnost ENISA-e te ciljana savjetovanja s ključnim dionicima.
Glavni nalazi ocjenjivanja, u skladu s kriterijima za ocjenjivanje, mogu se sažeti kako slijedi:
1.Relevantnost: u kontekstu tehnološkog razvoja i novih prijetnji kao i znatne potrebe za većom mrežnom i informacijskom sigurnošću (NIS) u EU-u, ciljevi ENISA-e pokazali su se relevantnima. Štoviše, države članice i tijela EU-a oslanjaju se na stručnost u razvoju mrežne i informacijske sigurnosti te stoga u državama članicama treba jačati sposobnosti za razumijevanje prijetnji i za odgovor na njih, a dionici moraju surađivati u svim tematskim područjima i sa svim institucijama. Mrežna i informacijska sigurnost i dalje je važan politički prioritet EU-a i očekuje se da će ENISA na njega odgovoriti. Međutim, budući da je ENISA agencija EU-a ograničenog mandata: i. nije moguće dugoročno planiranje i održiva potpora državama članicama i institucijama EU-a u okruženju rastućih prijetnji kibersigurnosti; ii. to može dovesti do pravnog vakuuma jer su odredbe Direktive NIS kojom se ENISA-i povjeravaju njezine zadaće trajne prirode.
2.Djelotvornost: ENISA je u načelu ispunila svoje ciljeve i izvršila svoje zadaće. Obavljanjem svojih glavnih aktivnosti pridonijela je većoj mrežnoj i informacijskoj sigurnosti u Europi (jačanje kapaciteta, pružanje stručnosti, izgradnja zajedništva i potpora politici). Pokazala je potencijal za napredovanje u svim područjima. Zaključak je ocjenjivanja da je ENISA djelotvorno stvorila snažne i pouzdane odnose s nekim od svojih dionika, posebno s državama članicama i zajednicom CSIRT-ova. Intervencije u području jačanja kapaciteta smatrale su se djelotvornima, posebno za države članice s manje resursa. Jedno od istaknutih područja bilo je poticanje široke suradnje i svi su se dionici složili da ENISA ima pozitivnu ulogu u povezivanju ljudi. Međutim, ENISA nije uspjela ostvariti veliki učinak u opsežnom području mrežne i informacijske sigurnosti. To je djelomično i zbog toga što je imala prilično ograničene ljudske i financijske resurse za ispunjenje širokog mandata. Zaključak je ocjenjivanja i da je ENISA djelomično ispunila cilj pružanja stručnog znanja povezanog s problemima sa zapošljavanjem stručnjaka (vidjeti u nastavku u odjeljku o učinkovitosti).
3.Učinkovitost: Unatoč ograničenom proračunu, koji je među najnižima u odnosu na druge agencije EU-a, Agencija je uspjela pridonijeti ciljevima te je učinkovito upotrebljavala resurse. Zaključak je ocjenjivanja da su postupci u načelu bili učinkoviti te da je jasnom podjelom odgovornosti u organizaciji omogućeno uspješno izvršavanje aktivnosti. Jedan od glavnih izazova za učinkovitost Agencije odnosi se na teškoće s kojima se ENISA suočava pri zapošljavanju i zadržavanju kvalificiranih stručnjaka. Utvrđeno je da je to posljedica više čimbenika, među ostalim općih teškoća javnog sektora kada se natječe s privatnim sektorom u zapošljavanju visokokvalificiranih stručnjaka, vrste ugovora (na određeno vrijeme) koje je Agencija mogla ponuditi i nedostatne privlačnosti lokacije ENISA-e, što je primjerice povezano s teškoćama s kojima se suočavaju bračni partneri pri pronalaženju posla. Zbog dvije lokacije, u Ateni i Heraklionu, bili su potrebni dodatni koordinacijski napori i nastajali su dodatni troškovi. Međutim, operativna učinkovitost Agencije povećala se nakon preseljenja glavnog operativnog odjela Agencije u Atenu 2013.
4.Usklađenost: Aktivnosti ENISA-e bile su u načelu u skladu s politikama i aktivnostima njezinih dionika, na nacionalnoj razini i razini EU-a, ali potreban je koordiniraniji pristup kibersigurnosti na razini EU-a. Nisu potpuno iskorištene mogućnosti suradnje između ENISA-e i ostalih tijela EU-a. Zbog razvoja pravnog i političkog okruženja u EU-u trenutačni mandat danas je manje usklađen.
5.Dodana vrijednost EU-a: Dodana vrijednost ENISA-e poglavito proizlazi iz sposobnosti Agencije da poboljša suradnju, uglavnom među državama članicama, ali i s povezanim zajednicama mrežne i informacijske sigurnosti. Na razini EU-a ne postoji nijedan drugi akter koji podupire suradnju toliko velikog broja različitih dionika u području mrežne i informacijske sigurnosti. Dodana vrijednost Agencije razlikovala se prema različitim potrebama i resursima njezinih dionika (npr. velike u odnosu na male države članice; države članice u odnosu na industriju) i potrebi Agencije da svojim aktivnostima daje prednost u skladu s programom rada. Zaključak je ocjenjivanja da bi moguće ukidanje ENISA-e značilo izgubljene prilike za sve države članice. Bez decentralizirane agencije EU-a neće se moći osigurati jednaki stupanj jačanja zajedništva i suradnje među državama članicama u području kibersigurnosti. Stanje bi bilo rascjepkanije, a praznina koja bi ostala nakon ENISA-e morala bi se popuniti bilateralnom ili regionalnom suradnjom.
3.Zaključci/Preporuke
Zaključak je ocjenjivanja da je ENISA-i njezinom Uredbom povjeren širok mandat, koji omogućuje fleksibilnost, ali je u nekim slučajevima nedostatno usredotočen, zbog čega Agencija ne može ostvariti veliki učinak. Njezini ciljevi pokazali su se relevantnima u razdoblju od 2013. do 2016. Agencija je uspjela ostvariti dobru razinu učinkovitosti i pokazala je dodanu vrijednost djelovanja na razini EU-a, posebno obavljanjem svojih glavnih aktivnosti, kao što su paneuropske kibersigurnosne vježbe, podupiranje zajednice CRIST-ova i analiza prijetnji. ENISA je pridonijela jačanju mrežne i informacijske sigurnosti u Europi poglavito podupiranjem suradnje među državama članicama i dionika u području NIS-a te svojim aktivnostima jačanja zajedništva i kapaciteta.
Agencija je ostvarila te rezultate unatoč izazovima koji su opisani u prethodnim odjeljcima ovog izvješća i u priloženom Radnom dokumentu službi. Jedan od ključnih izazova bio je povezan s ograničenim resursima koji nisu bili u skladu sa širokim mandatom Agencije, posebno uzimajući u obzir nove zadaće koje su Agenciji povjerene Direktivom NIS i rastući broj prijetnji. Nadalje, ENISA je jedina agencija EU-a koja ima ograničen mandat unatoč, među ostalim, prethodno navedenim zadaćama povezanima s Direktivom NIS.
Situacija u pogledu prijetnji kibersigurnosti brzo se mijenja jer se stalno javljaju nove prijetnje budući da se Europa sve više oslanja na digitalnu infrastrukturu i usluge ne samo zbog povezanih uređaja nego i zbog sveprisutne povezivosti. Internet stvari donosi nove prilike povezane s energetskom učinkovitošću, zaštitom okoliša, povezanom mobilnošću, praćenjem zdravstvenog stanja u stvarnom vremenu i pametnim i brzim financijskim transakcijama u digitalnom gospodarstvu i društvu. Međutim, ti pokretači poslovanja donose nove ranjivosti i mogućnosti iskorištavanja zbog čega bi povezani uređaji mogli narušiti jedinstveno digitalno tržište.
Zaključak je ocjenjivanja da ENISA-i u okviru trenutačnog mandata nisu osigurani alati potrebni za suočavanje s postojećim i budućim izazovima u području kibersigurnosti.
Nadalje, zbog broja aktera u području kibersigurnosti na razini EU-a i nedostatne koordinacije među njima postoji rizik od sve veće rascjepkanosti. EU-u je potrebno središte koje će se baviti novim prijetnjama horizontalne prirode i utječu na više industrijskih sektora i koje će zadovoljavati potrebe kibersigurnosne zajednice, posebno država članica, institucija EU-a i poduzeća. Ocjenjivanjem je utvrđeno da je potrebna agencija EU-a sa snažnim mandatom koja je ustrojena na međusektorskoj/horizontalnoj osnovi.
Utvrđeno je i da bi ENISA, unatoč brojnim izazovima, mogla znatno pridonijeti većoj kibersigurnosti u EU-u ako bi dobila odgovarajući mandat i potporu u obliku financijskih i ljudskih resursa.
Također postoji jasna potreba za suradnjom i koordinacijom među različitim dionicima. Sve je istaknutija potreba za koordinacijskim tijelom EU-a kako bi se olakšao protok informacija, smanjio broj praznina na najmanju moguću razinu i izbjeglo preklapanje uloga i odgovornosti. ENISA, kao decentralizirana agencija EU-a i neutralni posrednik, može koordinirati pristup EU-a kiberprijetnjama.
Komisija je u skladu s time predložila reformu ENISA-a kojom bi joj se povjerio trajni mandat koji se temelji na ključnim prednostima Agencije i novim prioritetnim područjima djelovanja, na primjer u području kibersigurnosne certifikacije. Taj novi mandat trebao bi biti u skladu s novim stanjem i njime bi se Agencija trebala osnažiti da EU-u pruži prikladnu potporu za budućnost.