TEN/730
Kibersigurnost i otpornost kritičnih subjekata
MIŠLJENJE
Europski gospodarski i socijalni odbor
Prijedlog direktive Europskog parlamenta i Vijeća o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije i stavljanju izvan snage Direktive (EU) 2016/1148 i Prijedlog direktive Europskog parlamenta i Vijeća o otpornosti kritičnih subjekata
[COM(2020) 823 final - 2020/0359 (COD) - COM(2020) 829 final - 2020/0365 (COD)]
Izvjestitelj: Maurizio MENSI
|
Zahtjev za savjetovanje:
|
Europski parlament, 21/01/2021 – 11/02/2021
Vijeće, 26/01/2021 – 19/02/2021
|
|
Pravni temelj:
|
članak 114. Ugovora o funkcioniranju Europske unije
|
|
|
|
|
Nadležna stručna skupina:
|
Stručna skupina za promet, energiju, infrastrukturu i informacijsko društvo
|
|
Datum usvajanja u Stručnoj skupini:
|
14/04/2021
|
|
Datum usvajanja na plenarnom zasjedanju:
|
27/04/2021
|
|
Plenarno zasjedanje br.:
|
560
|
|
Rezultat glasovanja
(za/protiv/suzdržani):
|
243/0/5
|
1.Zaključci i preporuke
1.1EGSO cijeni napore Komisije da poveća otpornost javnih i privatnih subjekata na kiberprijetnje i fizičke prijetnje te incidente. Također se slaže da je potrebno ojačati industriju i inovacijsku sposobnost EU-a na uključiv način, u skladu sa strategijom utemeljenom na četiri stupa: zaštiti podataka, temeljnim pravima, sigurnosti i kibersigurnosti.
1.2Međutim, EGSO napominje da bi zbog relevantnosti i osjetljivosti ciljeva koji se žele postići s oba prijedloga instrument uredbe bio poželjniji od instrumenta direktive. Osim toga nije jasno zašto Komisija nije razmotrila niti uključivanje te mogućnosti među različite razmatrane opcije.
1.3EGSO napominje da se neke odredbe dvaju prijedloga direktive preklapaju jer su usko povezani i komplementarni, s time da je jedan uglavnom usmjeren na kibersigurnost, a drugi na fizičku sigurnost. Stoga poziva da se razmotri treba li ta dva prijedloga objediniti u jedan tekst u interesu pojednostavljenja i racionalizacije.
1.4EGSO se slaže s predloženim uklanjanjem razlike između operatora ključnih usluga i pružatelja digitalnih usluga iz prve Direktive NIS. Međutim, ističe da je, s obzirom na njezino područje primjene, potrebno pružiti preciznije i jasnije smjernice o tome koga Direktiva obvezuje. Konkretno, trebalo bi preciznije definirati kriterije za razlikovanje između „ključnih“ i „važnih“ subjekata, kao i zahtjeve koje trebaju ispuniti, kako bi se izbjegli različiti pristupi na nacionalnoj razini koji dovode do stvaranja prepreka tržišnom natjecanju i slobodnom kretanju robe i usluga, čime bi se ugrozila poduzeća i narušila trgovinska razmjena.
1.5EGSO smatra da je, s obzirom na objektivnu složenost sustava iznesenog u dvama prijedlozima, važno da Komisija precizno pojasni područje primjene tih dvaju skupova pravila, osobito kada se različitim odredbama žele regulirati ista pitanja ili isti subjekti.
1.6EGSO napominje da je ključni cilj jasnoća svih zakonodavnih odredbi, uz smanjenje birokracije i rascjepkanosti pojednostavljenjem postupaka, sigurnosnih zahtjeva i obveza obavješćivanja o incidentima. Stoga bi također moglo biti primjereno, u korist građana i poduzeća, spojiti ta dva prijedloga direktive u jedan tekst i tako izbjeći ponekad komplicirano tumačenje i primjenu.
1.7EGSO prepoznaje ključnu ulogu, istaknutu u Prijedlogu direktive, upravljačkih tijela „ključnih“ i „važnih“ subjekata, čiji članovi moraju redovito pohađati posebne tečajeve osposobljavanja kako bi stekli dovoljno znanja i vještina za poznavanje raznih kiberrizika, upravljanje njima i procjenu njihova učinka. U tom pogledu smatra se da bi se u Prijedlogu trebao navesti minimalni sadržaj takvih znanja i vještina kako bi se na europskoj razini pružile smjernice o tome koje se obrazovne vještine smatraju primjerenima te kako bi se izbjeglo da se sadržaj različitih tečajeva osposobljavanja razlikuje od jedne zemlje do druge.
1.8EGSO prepoznaje važnu ulogu ENISA-e u sveukupnom institucionalnom i operativnom ustroju kibersigurnosti na europskoj razini. U tom pogledu smatra da bi, uz izvješće o stanju kibersigurnosti u Uniji svake dvije godine, to tijelo trebalo objavljivati redovite i ažurirane informacije o incidentima povezanima s kibersigurnošću, uz obavijesti specifične za pojedine sektore, kako bi se subjektima obuhvaćenim NIS-om 2 omogućilo da bolje zaštite svoja poduzeća.
1.9EGSO se slaže s prijedlogom da se ENISA-i povjeri zadaća uspostave europskog registra ranjivosti i smatra da bi izvješćivanje o ranjivostima i velikim incidentima trebalo biti obvezno, a ne dobrovoljno, kako bi postalo koristan alat za naručitelje u postupcima javne nabave na europskoj razini, uključujući 5G proizvode i tehnologije.
2.Opće napomene
2.1Nova strategija EU-a za kibersigurnost predstavljena je 16. prosinca 2020. zajedno s dvama zakonodavnim prijedlozima: revizijom Direktive (EU) 2016/1148 o sigurnosti mrežnih i informacijskih sustava (Direktiva NIS 2) i novom direktivom o otpornosti kritičnih subjekata. Strategijom, koja je ključni element komunikacije „Izgradnja digitalne budućnosti Europe“, europskog plana oporavka i strategije EU-a za sigurnosnu uniju, nastoji se ojačati kolektivna otpornost Europe na kiberprijetnje i osigurati da svi građani i poduzeća mogu imati koristi od pouzdanih i sigurnih digitalnih usluga i alata.
2.2Potrebno je ažurirati postojeće mjere na razini EU-a za zaštitu kritičnih usluga i infrastrukture od kibernetičkih i fizičkih rizika. Rizici za kibersigurnost nastavljaju se usporedno s povećanjem digitalizacije i međusobne povezanosti. Stoga je potrebno revidirati postojeći regulatorni okvir u skladu s logikom sigurnosne strategije EU-a, čime bi se prevladala dihotomija između onog što je na internetu i onog što je izvan njega i pristup koji se temelji na strogoj podijeljenosti.
2.3Ova dva prijedloga direktive obuhvaćaju širok raspon područja i bave se trenutačnim i budućim rizicima na internetu i izvan njega, koji proizlaze iz kibernapada i kriminalnih napada, prirodnih katastrofa i drugih incidenata, a temelje se i na poukama izvučenim iz aktualne pandemije, koja je ukazala na to da su društva i gospodarstva koja sve više ovise o digitalizaciji ranjiva i izložena rastućim i sve naprednijim kiberprijetnjama, posebno za skupine kojima prijeti socijalna isključenost, kao što su osobe s invaliditetom. To je navelo EU da predloži mjere za zaštitu kiberprostora koji je globalan i otvoren, ali se temelji na snažnim jamstvima u pogledu sigurnosti, tehnološke suverenosti i vodstva, uz razvoj operativnih kapaciteta za sprečavanje mogućih prijetnji, odvraćanje od njih i pružanje odgovora na njih pomoću veće suradnje, uz poštovanje ovlasti država članica u pogledu nacionalne sigurnosti.
3.Prijedlog za reviziju Direktive o sigurnosti mrežnih i informacijskih sustava
3.1Direktivom NIS (EU) 2016/1148, prvim „horizontalnim“ regulatornim instrumentom EU-a za kibersigurnost, nastojala se poboljšati otpornost mrežnih i informacijskih sustava u Uniji na rizike za kibersigurnost. Međutim, unatoč ostvarenim dobrim rezultatima, u Direktivi NIS zamijećena su određena ograničenja. Zbog digitalne transformacije društva, ojačane krizom uzrokovanom bolešću COVID-19, povećao se spektar prijetnji, a time i osjetljivost naših društava, koja su sve više međuovisna u slučaju relevantnih i nepredviđenih rizika. Pojavili su se novi izazovi koji zahtijevaju odgovarajuće, inovativne odgovore. Rezultati opsežnog savjetovanja s dionicima ukazali su na nedovoljnu razinu kibersigurnosti među europskim poduzećima, nedosljednu primjenu pravila u državama u raznim sektorima i nedostatak razumijevanja glavnih prijetnji i izazova.
3.2Prijedlog direktive NIS 2 usko je povezan s dvjema drugim inicijativama: Prijedlogom uredbe o digitalnom financijskom sektoru („Akt o digitalnoj operativnoj otpornosti financijskih usluga“, DORA) i Prijedlogom direktive o otpornosti kritičnih subjekata, kojim se proširuje područje primjene Direktive 2008/114 koja se bavi energijom i prometom usmjeravanjem, primjerice, na zdravstvo i na subjekte koji se bave istraživačkim radom i razvojem lijekova. U Direktivi o otpornosti kritičnih subjekata, čije je sektorsko područje primjene jednako onome Direktive NIS 2 za kritične subjekte (Prilog 1. Direktivi NIS 2), fokus se preusmjerava sa zaštite fizičke imovine na otpornost subjekata koji njima upravljaju. Također se prelazi s utvrđivanja europske kritične infrastrukture s prekograničnom dimenzijom na utvrđivanje kritične infrastrukture na nacionalnoj razini. Direktiva NIS 2 također je usklađena i komplementarna s drugim postojećim pravnim instrumentima, kao što su Europski zakonik elektroničkih komunikacija, Opća uredba o zaštiti osobnih podataka i Uredba eIDAS o elektroničkoj identifikaciji i uslugama povjerenja.
3.3U skladu s Programom za primjerenost i učinkovitost propisa (REFIT) Prijedlogom direktive NIS 2 nastoji se smanjiti regulatorno opterećenje za nadležna tijela i troškovi usklađivanja za javne i privatne subjekte te modernizirati referentni pravni okvir. Njime se također povećavaju sigurnosni zahtjevi koji se nameću poduzećima, nastoji riješiti pitanje sigurnosti lanaca opskrbe, pojednostavnjuju zahtjevi za izvješćivanje, uvode strože nadzorne mjere za nacionalna tijela i nastoje uskladiti sustavi sankcioniranja u državama članicama.
3.4Direktiva NIS 2 također pridonosi povećanju razmjene informacija i suradnje u upravljanju kiberkrizama na nacionalnoj i europskoj razini. Ukinuta je razlika između operatora ključnih usluga i pružatelja digitalnih usluga predviđena u Direktivi NIS. Njezino područje primjene uključuje srednja i velika poduzeća u sektorima odabranima na temelju njihove važnosti za gospodarstvo i za društvo. Ti su subjekti, bilo javni ili privatni, podijeljeni na „ključne“ i „važne“ subjekte koji podliježu različitim sustavima nadzora. Ipak, državama članicama prepušteno je da razmotre i manje subjekte s visokorizičnim profilima.
3.5Predviđena je uspostava nove mreže centara za sigurnosne operacije na razini EU-a koji se temelje na umjetnoj inteligenciji. Predstavljat će istinski „kibersigurnosni štit“ koji će moći dovoljno vremena unaprijed prepoznati znakove kibernapada kako bi se moglo intervenirati prije nastanka štete. Važnost umjetne inteligencije za kibersigurnost istaknuta je i u izvješću o umjetnoj inteligenciji Komisije za nacionalnu sigurnost SAD-a (NSCAI) koje je predstavljeno 1. ožujka 2021. Zbog toga će države članice i operateri kritične infrastrukture imati izravan pristup obavještajnim podacima o prijetnjama (eng. Threat Intelligence) u okviru europske sigurnosne mreže.
3.6Komisija se bavi i pitanjem sigurnosti lanaca opskrbe i odnosa s dobavljačima: države članice u suradnji s Komisijom i ENISA-om mogu provoditi koordinirane procjene rizika ključnih lanaca opskrbe, na temelju uspješnog pristupa u pogledu 5G mreže predviđenog Preporukom od 26. ožujka 2019.
3.7Prijedlogom se jačaju i racionaliziraju obveze poduzeća u pogledu sigurnosti i izvješćivanja nametanjem zajedničkog pristupa upravljanju rizicima, uz minimalni popis temeljnih sigurnosnih elemenata koje je potrebno primijeniti. Predviđaju se preciznije odredbe o postupku izvješćivanja o incidentima, sadržaju izvješća i rokovima. U tom se pogledu u Prijedlogu utvrđuje pristup koji se sastoji od dva koraka: poduzeća imaju 24 sata za podnošenje prvog sažetog izvješća, nakon čega detaljno završno izvješće trebaju podnijeti u roku od mjesec dana.
3.8Predviđa se da države članice odrede nacionalna tijela odgovorna za upravljanje krizama s konkretnim planovima i novom mrežom za operativnu suradnju, Europskom mrežom organizacija za vezu za kiberkrize („EU-CyCLONe“). Jača se uloga skupine za suradnju u definiranju strateških odluka te se uspostavlja registar ranjivosti za otkrivene slabosti u EU-u kojim upravlja ENISA; također se intenzivira razmjena informacija i suradnja među tijelima država članica, uključujući operativnu suradnju u upravljanju kiberkrizama.
3.9Uvode se strože nadzorne mjere za nacionalna tijela, stroži zahtjevi za provedbu i namjerava se uskladiti sustave sankcioniranja u državama članicama.
3.10U tom se pogledu Prijedlogom direktive utvrđuje popis administrativnih sankcija za slučajeve neispunjavanja zahtjeva za upravljanje rizicima u području kibersigurnosti i komunikacije. Predviđaju se odredbe o odgovornosti fizičkih osoba koje se nalaze na predstavničkim ili upravljačkim položajima u poduzećima obuhvaćenima područjem primjene Direktive. U tom se smislu Prijedlogom poboljšava način na koji EU sprečava kiberincidente i kibernetičke krize velikih razmjera, njima upravlja i na njih odgovara te se navode jasne odgovornosti i predviđaju primjereno planiranje i pojačana suradnja na razini EU-a.
3.11Državama članicama omogućava se da zajednički prate provedbu pravila EU-a i međusobno si pomažu u slučaju prekograničnih problema, da uspostave strukturiraniji dijalog s privatnim sektorom, koordiniraju otkrivanje ranjivosti softvera i hardvera koji se stavljaju na unutarnje tržište te koordinirano procjenjuju sigurnosne rizike i prijetnje povezane s novim tehnologijama, kao što je bio slučaj s 5G tehnologijom.
4.Prijedlog direktive o otpornosti kritičnih subjekata
4.1EU je 2006. uspostavio Europski program zaštite kritične infrastrukture (EPZKI), a 2008. donio je Direktivu o europskoj kritičnoj infrastrukturi (EKI) koja se odnosi na energetski i prometni sektor. I u strategiji EU-a za sigurnosnu uniju za razdoblje 2020. – 2025., koju je donijela Europska komisija, i u nedavno donesenoj Agendi EU-a za borbu protiv terorizma ističe se važnost osiguravanja otpornosti kritične infrastrukture na fizičke i digitalne rizike. Međutim, i iz evaluacije provedbe Direktive o EKI-ju iz 2019. i iz rezultata procjene učinka Prijedloga proizlazi da postojeće europske i nacionalne mjere ne jamče dovoljno da se operatori mogu suočiti s trenutačnim rizicima. Stoga Vijeće i Parlament pozivaju Komisiju da preispita trenutačni pristup zaštiti kritične infrastrukture.
4.2U strategiji EU-a za sigurnosnu uniju koju je Komisija donijela 24. srpnja 2020. prepoznata je sve veća međupovezanost i međuovisnost fizičke i digitalne infrastrukture te je naglašena potreba za usklađenijim i dosljednijim pristupom između Direktive o EKI-ju i Direktive NIS. U tom se smislu predloženom Direktivom o otpornosti kritičnih subjekata, čije je objektivno područje primjene jednako onom Direktive NIS 2 o ključnim subjektima, izvorno područje primjene Direktive 114/2008, ograničeno na energiju i promet, proširuje na sljedeće sektore: bankarstvo, infrastrukturu financijskog tržišta, zdravstvo, vodu za piće, otpadne vode, digitalnu infrastrukturu, javnu upravu i svemirski sektor. Također se predviđaju jasne odgovornosti, primjereno planiranje i pojačana suradnja. Trebalo bi u tom pogledu uspostaviti referentni okvir za sve rizike i poduprijeti države članice u njihovim naporima da osiguraju da kritični subjekti mogu spriječiti incidente, biti na njih otporni i apsorbirati njihove posljedice, bez obzira na to odnose li se rizici na prirodne opasnosti, nesreće, terorizam, unutarnje prijetnje ili krize na području javnog zdravlja kao što je ova u kojoj se nalazimo.
4.3Svaka država članica mora donijeti nacionalnu strategiju kako bi osigurala otpornost kritičnih subjekata, provoditi redovite procjene rizika i na temelju toga utvrditi ključne subjekte. Od ključnih subjekata zahtijeva se da provode procjene rizika, uvedu odgovarajuće tehničke i organizacijske mjere za povećanje otpornosti i obavještavaju nacionalna tijela o incidentima. Subjekti koji pružaju usluge najmanje jednoj trećini država članica ili u najmanje jednoj trećini podliježu posebnom nadzoru, uključujući posebne misije za pomoć koje organizira Komisija.
4.4Predloženom Direktivom predviđaju se različiti oblici potpore državama članicama i ključnim subjektima, pregled rizika na razini EU-a, najbolje prakse i metodologije te osposobljavanje i vježbe za ispitivanje otpornosti ključnih subjekata. Sustav prekogranične suradnje uključuje i ad hoc stručnu skupinu, skupinu za otpornost ključnih subjekata i forum za stratešku suradnju i razmjenu informacija među državama članicama.
5.Prijedlozi za izmjenu predmetnog zakonodavnog prijedloga
5.1EGSO cijeni napore Komisije da poveća otpornost javnih i privatnih subjekata na kiberprijetnje i fizičke prijetnje. To je osobito važno s obzirom na brzu digitalnu transformaciju uzrokovanu pandemijom bolesti COVID-19. Također se slaže s time da bi Europa, kako je navedeno u komunikaciji „Izgradnja digitalne budućnosti Europe“, trebala iskoristiti prednosti digitalnog doba i ojačati svoju industriju, s posebnim naglaskom na mala i srednja poduzeća, i svoju inovacijsku sposobnost na uključiv način, u skladu sa strategijom utemeljenom na četiri stupa: zaštiti podataka, temeljnim pravima, sigurnosti i kibersigurnosti kao ključnim preduvjetima za društvo temeljeno na moći podataka.
5.2Međutim, s obzirom na rezultate procjene učinka i savjetovanja koje je prethodilo Prijedlogu direktive NIS 2 s obzirom na opetovano istaknut cilj izbjegavanja fragmentacije pravila donesenih na nacionalnoj razini, kao što je također zatraženo u Komunikaciji od 4. listopada 2017. o provedbi Direktive NIS, EGSO napominje da nije jasno zašto Komisija nije predložila donošenje uredbe umjesto direktive ni zašto tu mogućnost nije niti razmotrila.
5.3EGSO napominje da se neke odredbe dvaju prijedloga direktive preklapaju jer su usko povezani i komplementarni, s time da je jedan uglavnom usmjeren na kibersigurnost, a drugi na fizičku sigurnost. Također treba napomenuti da se kritični subjekti iz Direktive o otpornosti kritičnih subjekata odnose na iste sektore i podudaraju s „ključnim“ subjektima iz Direktive NIS 2. Osim toga, svi ključni subjekti obuhvaćeni Direktivom o otpornosti kritičnih subjekata podliježu obvezama u pogledu kibersigurnosti iz Direktive NIS 2. Tim dvama prijedlozima predviđa se i niz prijelaznih klauzula kako bi se osigurala suradnja: odredbe za pojačanu suradnju među tijelima vlasti, razmjena informacija o nadzornim aktivnostima, obavješćivanje tijela nadležnih za provedbu Direktive NIS o utvrđivanju ključnih subjekata u skladu s Direktivom o otpornosti kritičnih subjekata i redovni sastanci relevantnih radnih skupina, barem jednom godišnje. Ta dva prijedloga imaju i isti pravni temelj, članak 114. UFEU-a, čiji je cilj dovršetak unutarnjeg tržišta usklađivanjem nacionalnih pravila, kako ih je, među ostalim, Sud EU-a protumačio u svojoj presudi u predmetu C-58/08, Vodafone i drugi. Stoga poziva da se razmotri treba li ta dva prijedloga objediniti u jedan tekst u interesu pojednostavljenja i racionalizacije.
5.4EGSO se slaže s uklanjanjem razlike između operatora ključnih usluga i pružatelja digitalnih usluga iz prve Direktive NIS. Međutim, ističe da je, s obzirom na njezino područje primjene, potrebno pružiti preciznije i jasnije smjernice o tome koga Direktiva obvezuje. Osim upućivanja u prilozima I. i II., u Direktivi NIS 2 navodi se niz kriterija koji nisu međusobno usklađeni, a koji podrazumijevaju osjetljive kvalitativne i kvantitativne procjene koje bi se na nacionalnoj razini mogle primjenjivati na različite načine, što može ponovno dovesti do fragmentacije koju se namjeravalo izbjeći ovom regulatornom intervencijom. Važno je izbjeći mogućnost da neusklađeni pristupi na nacionalnoj razini dovedu do stvaranja prepreka tržišnom natjecanju i slobodnom protoku robe i usluga, čime bi se ugrozila poduzeća i narušila trgovinska razmjena.
5.5U okviru NIS-a 2 predviđa se da ključni subjekti u područjima koja se ovim prijedlogom smatraju „ključnima“ podliježu i općim obvezama izgradnje otpornosti, s posebnim naglaskom na nekibernetičkim rizicima u skladu s Direktivom o otpornosti kritičnih subjekata. Međutim, u toj se direktivi izričito navodi da se ona ne primjenjuje na pitanja obuhvaćena Direktivom NIS 2. Direktivom o otpornosti kritičnih subjekata predviđa se da bi, s obzirom na to da je kibersigurnost dovoljno pokrivena Direktivom NIS 2, pitanja obuhvaćena tom direktivom trebalo isključiti iz područja primjene Direktive o otpornosti kritičnih subjekata, ne dovodeći u pitanje poseban režim za subjekte u sektoru digitalne infrastrukture. U Direktivi o otpornosti kritičnih subjekata zatim se napominje da se subjekti iz sektora digitalne infrastrukture u osnovi oslanjaju na mrežne i informacijske sustave te da su obuhvaćeni područjem primjene Direktive NIS 2, koja se također bavi fizičkom sigurnošću takvih sustava u okviru njihovih obveza upravljanja rizicima u području kibersigurnosti i izvješćivanja. Istodobno se u Direktivi o otpornosti kritičnih subjekata navodi da nije isključeno da se na njih mogu primjenjivati posebne odredbe Direktive NIS 2.
5.6EGSO smatra da je, s obzirom na složenost situacije, važno da Komisija precizno pojasni područje primjene tih dvaju skupova pravila, osobito kada se različitim odredbama žele regulirati ista pitanja ili isti subjekti.
5.7Jasnoća svih zakonodavnih odredbi, osobito onih uključenih u opsežne i složene dokumente poput onih o kojima je ovdje riječ, mora biti ključni cilj na svim razinama, zajedno s ciljem smanjenja birokracije i rascjepkanosti pojednostavljenjem postupaka, sigurnosnih zahtjeva i obveza obavješćivanja o incidentima. Također bi trebalo osigurati da se povećanjem broja tijela kojima su dodijeljene posebne zadaće ne ugrozi jasno utvrđivanje njihovih nadležnosti, čime bi se ugrozili ciljevi koji se žele postići. I zbog toga bi moglo biti primjereno, u korist građana i poduzeća, spojiti ta dva prijedloga direktive u jedan tekst i tako izbjeći ponekad komplicirano tumačenje i primjenu.
5.8U nekoliko se navrata u Direktivi NIS 2 navode odredbe iz drugih pravnih instrumenata, kao što je Direktiva 2018/1972 o Europskom zakoniku elektroničkih komunikacija, čija je primjena uređena kriterijem specijalnosti. Neke odredbe iz te direktive izričito se stavljaju izvan snage (članci 40. i 41.), dok se druge moraju primjenjivati na temelju spomenutog načela, bez pojašnjenja u tom pogledu. EGSO se u tom pogledu nada da će se otkloniti sumnje kako bi se izbjegli problemi prilikom tumačenja. EGSO podržava cilj Komisije da se u slučaju neusklađenosti u upravljanju rizicima sustav sankcija uskladi kako bi se poboljšala razmjena informacija i suradnja na razini EU-a.
5.9EGSO prepoznaje ključnu ulogu, istaknutu u Prijedlogu direktive, upravljačkih tijela „ključnih“ i „važnih“ subjekata u strategiji kibernetičke sigurnosti i u upravljanju rizicima s obzirom na to da su ona obvezna odobriti mjere za upravljanje rizicima, nadzirati njihovu provedbu i reagirati na svaku neusklađenost. U tom se pogledu od članova tih tijela očekuje da redovito pohađaju posebne tečajeve osposobljavanja kako bi stekli dovoljno znanja i vještina za poznavanje raznih kiberrizika, upravljanje njima i procjenu njihova učinka. Međutim, smatra se da bi se u Prijedlogu trebao navesti minimalni sadržaj takvih znanja i vještina kako bi se na europskoj razini pružile smjernice o tome koje se obrazovne vještine smatraju primjerenima za ispunjavanje zahtjeva utvrđenih u prijedlogu, i izbjeglo da se zahtjevi i sadržaj tečajeva osposobljavanja razlikuju od zemlje do zemlje.
5.10EGSO prepoznaje važnu ulogu ENISA-e u sveukupnom institucionalnom i operativnom ustroju kibersigurnosti na europskoj razini. U tom pogledu smatra da bi, uz izvješće o stanju kibersigurnosti u Uniji, to tijelo trebalo na internetu objavljivati ažurirane informacije o incidentima povezanima s kibersigurnošću i obavijesti specifične za pojedine sektore kako bi se osigurao koristan informacijski instrument kojim bi se subjektima obuhvaćenim NIS-om 2 omogućilo da bolje zaštite svoja poduzeća.
5.11EGSO se slaže da pristup točnim i pravodobnim informacijama o ranjivostima koje utječu na IKT proizvode i usluge pridonosi boljem upravljanju rizicima u području kibersigurnosti. U tom pogledu javno dostupni izvori informacija o ranjivosti predstavljaju važan alat za nacionalna nadležna tijela, CSIRT-ove, poduzeća i korisnike. EGSO stoga podržava prijedlog da se ENISA-i povjeri zadaća uspostave europskog registra ranjivosti u kojem bi ključni i važni subjekti i njihovi dobavljači mogli pružati informacije kako bi korisnici mogli poduzeti odgovarajuće mjere ublažavanja. Međutim, smatra da takva komunikacija u pogledu ranjivosti i važnijih incidenata treba postati obvezna, a ne biti dobrovoljna, kako bi postala koristan alat i za naručitelje u raznim postupcima javne nabave na europskoj razini, uključujući 5G proizvode i tehnologije. Takav bi registar tada sadržavao elemente koji se mogu iskoristiti pri ocjenjivanju ponuda u cilju provjere njihove kvalitete i pouzdanosti europskih i neeuropskih ugovaratelja, sa stajališta sigurnosti proizvoda i usluga koji su predmet ponude, u skladu s preporukom o kibersigurnosti 5G mreža od 26. ožujka 2019. Registar bi također trebao osigurati da su informacije koje sadržava dostupne na način kojim se izbjegava svaki oblik diskriminacije.
Bruxelles, 27. travnja 2021.
Christa SCHWENG
Predsjednica Europskog gospodarskog i socijalnog odbora
_____________
