10.3.2017

Službeni list Europske unije

C 75/124

Mišljenje Europskoga gospodarskog i socijalnog odbora „Komunikacija Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija – Jačanje europskog sustava kibernetičke sigurnosti i poticanje konkurentne i inovativne industrije kibernetičke sigurnosti”

(COM(2016) 410 final)

(2017/C 075/21)

Izvjestitelj:

Thomas McDONOGH

Zahtjev za savjetovanje:	Europska komisija, 18.8.2016.
Pravni temelj:	članak 304. Ugovora o funkcioniranju Europske unije
Nadležna stručna skupina:	Stručna skupina za promet, energiju, infrastrukturu i informacijsko društvo
Datum usvajanja u Stručnoj skupini:	15.11.2016.
Datum usvajanja na plenarnom zasjedanju:	14.12.2016.
Plenarno zasjedanje br.:	521
Rezultat glasovanja (za/protiv/suzdržani):	148/0/1

1. Zaključci i preporuke

1.1.

Odbor pozdravlja Komunikaciju Komisije o jačanju europskog sustava kibernetičke sigurnosti i poticanju konkurentne i inovativne industrije kibernetičke sigurnosti. Odbor dijeli zabrinutost Komisije u pogledu kontinuirane izloženosti Europe kibernetičkim napadima te napominje da se najmanje 80 % europskih poduzeća susrelo s barem jednim incidentom povezanim s kibernetičkom sigurnošću u proteklih godinu dana, dok je tijekom 2015. godine broj sigurnosnih incidenata u svim industrijama u svijetu porastao za 38 % (The Global State of Information Security Survey 2016, PwC). Slažemo se s Komisijom da je potreban niz mjera kako bi se ojačao europski sustav kibernetičke sigurnosti i potaknula konkurentna i inovativna industrija kibernetičke sigurnosti u Europi.

1.2.

Odbor posebno pozdravlja ovaj prijedlog u kontekstu nedavno donesene Direktive o mrežnoj i informacijskoj sigurnosti (Direktiva o MIS-u) (1), kojom se nastoji uskladiti pristup kibernetičkoj sigurnosti unutar Europske unije, te u kontekstu šire Strategije za kibernetičku sigurnost (2), u kojoj se iznosi trenutačna vizija o najboljem načinu za sprečavanje i rješavanje kibernetičkih smetnji i napada, unapređenje europskih vrijednosti slobode i demokracije te osiguravanje sigurnog rasta digitalnog gospodarstva.

1.3.

EGSO se slaže da su potrebne sveobuhvatne mjere kako bi se europska ključna digitalna infrastruktura i usluge još više zaštitile od sigurnosnih prijetnji te smo zadovoljni što će mjere koje su sada predložene u velikoj mjeri pridonijeti provođenju mnogih preporuka Odbora iz brojnih prethodnih mišljenja (3) o unapređenju kibernetičke sigurnosti diljem Unije.

1.4.

EGSO je zadovoljan time što je Komisija sklopila ugovorno javno-privatno partnerstvo (uJPP) za kibernetičku sigurnost za koje se očekuje da će pokrenuti ulaganja u industriju kibernetičke sigurnosti EU-a u iznosu od 1,8 milijardi EUR, kojima bi se trebala potaknuti suradnja u ranoj fazi postupka istraživanja i inovacija te osmisliti rješenja u području kibernetičke sigurnosti za različite sektore, kao što su energija, zdravlje, promet i financije. Posebno se nadamo da će se taj uJPP primjenjivati za pružanje podrške poduzećima specijaliziranima za kibernetičku sigurnost diljem Unije u ranoj fazi njihova razvoja.

1.5.

Odbor pozdravlja namjeru Komisije da do kraja 2017. procijeni je li potrebno izmijeniti ili produljiti mandat Agencije Europske unije za mrežnu i informacijsku sigurnost (ENISA) te izražavamo zadovoljstvo što će se Komisija savjetovati s nama o tom pitanju. EGSO vjeruje da svako produljenje mandata ENISA-e treba obuhvaćati veću operativnu ulogu te agencije kako bi podizanje razine osviještenosti o prijetnjama od kibernetičkih napada i povećanje odgovora na njih diljem Europe bilo učinkovitije, kao i neposredniju odgovornost za programe edukacije i osvješćivanja o kibernetičkoj sigurnosti usmjerene posebno na građane te mala i srednja poduzeća (MSP).

1.6.

Kako bi se na razini EU-a osigurali snažno vodstvo i integracija potrebni za rješavanje složene provedbe učinkovite europske politike kibernetičke sigurnosti, Odbor traži od Komisije da ispita mogućnost promjene statusa ENISA-e u tijelo za kibernetičku sigurnost na razini EU-a, istovrsno središnjem tijelu u zrakoplovnoj industriji (Europska agencija za sigurnost zračnog prometa, EASA). U slučaju da takva promjena mandata ENISA-e nije izvediva, EGSO predlaže osnivanje potpuno novog tijela.

1.7.

EGSO poziva Komisiju da razmotri mogućnost osmišljavanja nacionalnog modela za razvoj kibernetičke sigurnosti i sustava za rejting, sličnog modelu CMM (eng. Capability Maturity Model) u IT sektoru, radi objektivnog mjerenja stupnja otpornosti svake države članice u pogledu kibernetičke sigurnosti.

1.8.

Odbor napominje da će Komisija u skoroj budućnosti razmotriti je li potrebno ažurirati Strategiju EU-a za kibernetičku sigurnost iz 2013. te sa zadovoljstvom iščekujemo savjetovanje u pogledu razmatranja Komisije u dogledno vrijeme.

1.9.

S obzirom na važnost kibernetičke sigurnosti i sve veće prijetnje u pogledu kibernetičkog kriminala, EGSO poziva da se Europskom centru za kibernetički kriminal pri Europolu i Europskoj obrambenoj agenciji dodijele odgovarajuća sredstva i resursi.

1.10.

S obzirom na veliku važnost zaštite osobnih podataka građana koje pohranjuju institucije i agencije javne uprave, Odbor poziva na to da se za zaposlenike u javnoj administraciji organizira posebna obuka u vezi s upravljanjem podacima, zaštitom podataka i kibernetičkom sigurnošću.

1.11.

Na temelju sveobuhvatne ocjene zaštite EU-a od kibernetičkog kriminala i kibernetičkih napada, kao i razvoja snažne industrije kibernetičke sigurnosti u Europi, EGSO smatra da strategija i politika kibernetičke sigurnosti EU-a moraju biti uspješne osobito u sljedećim točkama: odlučno vodstvo EU-a, politike kibernetičke sigurnosti koje povećavaju sigurnost uz očuvanje privatnosti i drugih temeljnih prava, podizanje razine osviještenosti građana i poticanje proaktivnih pristupa zaštiti, sveobuhvatno upravljanje država članica, informirano i odgovorno poslovanje, bliska suradnja među vladama, privatnim sektorom i građanima, odgovarajuća razina ulaganja, dobri tehnički standardi, dovoljna ulaganja u istraživanja, razvoj i inovacije te međunarodna suradnja.

2. Sažetak Komunikacije Komisije

2.1.

U Komunikaciji su predstavljene mjere za jačanje europskog sustava kibernetičke sigurnosti te poticanje konkurentne i inovativne industrije kibernetičke sigurnosti u Europi, kako je najavljeno u Strategiji EU-a za kibernetičku sigurnost i u Strategiji jedinstvenog digitalnog tržišta.

2.2

Da bi se to postiglo, Komisija se u mjerama koje predlaže koristi odredbama Direktive o MIS-u u svrhu jačanja suradnje na području kibernetičke sigurnosti, razmjene informacija, osposobljavanja i organizacije u pogledu sigurnosti diljem Unije. Komisija će također završiti procjenu ENISA-e do kraja 2017. te će razmotriti potrebu za izmjenom ili produljenjem mandata ENISA-e.

2.2.1.

Komisija će usko surađivati s državama članicama, ENISA-om, ESVD-om i drugim mjerodavnim tijelima EU-a radi uspostave platforme za osposobljavanje u području kibernetičke sigurnosti.

2.2.2.

Postoji niz predloženih mjera koje se bave pitanjima međusektorske međuovisnosti i unapređenjem otpornosti ključne javne infrastrukture, uključujući razvoj europskih sektorskih centara za razmjenu i analizu informacija i njihovu suradnju s CSIRT-ovima. Komisija također predlaže da se nacionalnim tijelima omogući podnošenje zahtjeva CSIRT-ovima za provođenje redovitih provjera ključnih mrežnih infrastruktura.

2.3.

Mjere koje predlaže Komisija također će se baviti potrebom da se osposobljavanjem, ulaganjima, zahtjevima jedinstvenog tržišta i uspostavom novog javno-privatnog partnerstva o kibernetičkoj sigurnosti, za koje se očekuje da će do 2020. potaknuti ulaganja u iznosu od 1,8 milijardi EUR, pruži veća potpora rastu i razvoju snažne europske industrije kibernetičke sigurnosti.

2.3.1.

Također se predlaže izrada prijedloga europskog okvira za sigurnosno certificiranje u području IKT-a, koji bi trebao biti predstavljen do kraja 2017., te procjena izvedivosti i učinka europskog okvira za jednostavno označavanje u području kibernetičke sigurnosti.

2.3.2.

Kako bi povećala ulaganja u kibernetičku sigurnost u Europi i pružila potporu MSP-ovima, Komisija će informirati zajednicu kibernetičke sigurnosti o postojećim mehanizmima financiranja; povećati uporabu alata i instrumenata EU-a radi pružanja potpore inovativnim MSP-ovima na polju istraživanju sinergija između civilnog i obrambenog tržišta kibernetičke sigurnosti (npr. Europska poduzetnička mreža i Europska mreža regija angažiranih u području obrane pružit će regijama nove mogućnosti istraživanja prekogranične suradnje u području dvojne namjene, uključujući kibernetičku sigurnost, a MSP-ovima sudjelovanje u aktivnostima povezivanja); istražiti mogućnost lakšeg pristupa ulaganjima posredstvom posebne platforme za ulaganja u području kibernetičke sigurnosti ili s pomoću drugih alata; te osnovati platformu za pametnu specijalizaciju u području kibernetičke sigurnosti kao potporu državama članicama i regijama koje su zainteresirane za ulaganja u sektor kibernetičke sigurnosti (RIS3).

2.3.3.

Nadalje, Komisija će u svrhu promicanja i poticanja europske industrije kibernetičke sigurnosti inovacijama sklopiti s industrijom ugovorno javno-privatno partnerstvo (uJPP) za kibernetičku sigurnost; objaviti pozive u okviru programa Obzor 2020. na podnošenje prijedloga koji se odnose na uJPP za kibernetičku sigurnost; te uskladiti uJPP za kibernetičku sigurnost s odgovarajućim sektorskim strategijama, instrumentima programa Obzor 2020. i sektorskim JPP-ovima.

3. Opće napomene

3.1.

Digitalno gospodarstvo odgovorno je za petinu rasta BDP-a u EU-u, a većina Europljana kupuje na internetu svake godine. Ovisimo o internetu i povezanoj digitalnoj tehnologiji kao podršci našim vitalnim sektorima energije, zdravlja, vladinih i financijskih usluga. Međutim, ključna digitalna infrastruktura i usluge koje imaju toliko važnu ulogu u našem gospodarskom i društvenom životu podložne su sve većem riziku od kibernetičkog kriminala i kibernetičkih napada koji prijete našem blagostanju i kvaliteti života.

3.2.

Vlade i javne institucije i agencije u međuvremenu elektronički pohranjuju veliku količinu osobnih podataka o svim građanima. Stoga su dobro upravljanje podacima, kibernetička sigurnost i zaštita podataka od velike važnosti za građane u cijeloj Uniji, koji trebaju biti sigurni da su njihovi osobni podaci i privatnost zaštićeni u skladu s direktivama i propisima EU-a. To se osobito tiče podataka o zdravlju te financijskim, pravnim i drugim poslovima, koji bi mogli biti iskorišteni za krađu identiteta ili neprimjereno objelodanjivanje trećim stranama. Od presudne je važnosti da svi zaposlenici u javnom sektoru budu dobro osposobljeni u području upravljanja podacima, kibernetičke sigurnosti i zaštite podataka.

3.3.

Podučavanje građana o osobnoj kibernetičkoj sigurnosti, uključujući sigurnost podataka, treba biti temeljni dio svakog programa za digitalnu pismenost. Edukativni program EU-a mogao bi pružiti potporu nastojanjima manje aktivnih država članica te osigurati ispravno razumijevanje strategije, smanjujući na taj način strah od gubitka privatnosti i povećavajući povjerenje u digitalno gospodarstvo. Takav bi se program mogao provoditi uz sudjelovanje udruga potrošača i organizacija civilnog društva u cijeloj Uniji, uključujući obrazovne ustanove specijalizirane za potrebe starijih građana.

3.4.

Svaka država članica trebala bi ovlastiti svoje postojeće organizacije za industrijski razvoj da informiraju, educiraju i podupiru sektor malog i srednjeg poduzetništva u vezi s pitanjima kibernetičke sigurnosti. Velika poduzeća mogu lako stjecati potrebna znanja, no malim i srednjim poduzećima potrebna je podrška.

3.5.

Bilo bi vrlo korisno kad bi postojalo objektivno mjerilo stupnja otpornosti svake države članice u pogledu kibernetičke sigurnosti kako bi se uspoređivanjem mogle prevladavati manjkavosti i poticati poboljšanja. Možda bi se mogao osmisliti nacionalni model za razvoj kibernetičke sigurnosti i sustav za rejting, sličan modelu CMM (eng. Capability Maturity Model) u IT sektoru, radi mjerenja stupnja otpornosti svake države članice u pogledu kibernetičke sigurnosti.

3.6.

Sveobuhvatna strategija za kibernetičku sigurnost treba obuhvatiti sljedeće mjere:

—	odlučno vodstvo EU-a koje uspostavlja politike, zakone i institucije radi poticanja visoke razine kibernetičke sigurnosti diljem Unije,

—	politike kibernetičke sigurnosti koje poboljšavaju sigurnost pojedinaca i zajednice te istodobno štite prava građana na privatnost i druge temeljne vrijednosti i slobode,

—	visoku razinu osviještenosti građana o rizicima pri korištenju interneta te poticanje proaktivnog pristupa zaštiti njihovih digitalnih uređaja, identiteta, privatnosti i internetskih transakcija,

—	sveobuhvatno upravljanje svih država članica radi osiguravanja sigurnosti i otpornosti ključnih informacijskih infrastruktura,

—	svjesno i odgovorno djelovanje svih poduzeća radi osiguravanja sigurnosti i otpornosti njihovih informacijskih i komunikacijskih sustava te radi zaštite poslovanja i interesa njihovih klijenata,

—	proaktivan pristup davatelja internetskih usluga zaštiti svojih klijenata od kibernetičkih napada,

—	blisku suradnju, na strateškoj i operativnoj razini, na području kibernetičke sigurnosti diljem EU-a između vlada, privatnog sektora i građana,

—	ugrađivanje kibernetičke zaštite u internetske tehnologije i usluge već pri njihovu razvoju,

—	odgovarajuće razine ulaganja u razvoj znanja i vještina u vezi s kibernetičkom sigurnošću radi razvoja stručne radne snage na tom području,

—	dobre tehničke standarde za kibernetičku sigurnost i dovoljna ulaganja u istraživanja, razvoj i inovacije radi pružanja podrške razvoju snažne industrije kibernetičke sigurnosti i visokokvalitetnih rješenja,

—	aktivnu međunarodnu suradnju s državama koje nisu članice EU-a radi razvoja usklađene svjetske politike i reakcija na prijetnje kibernetičkoj sigurnosti.

4. Posebne napomene

4.1.

Nadovezujući se na okvir za upravljanje kibernetičkom sigurnošću iz Direktive o MIS-u i na daljnje mjere koje su sada uključene u ovu komunikaciju, EU treba razmotriti mogućnost rješavanja problema fragmentiranog pristupa unapređenju kibernetičke sigurnosti diljem Unije, i to osnivanjem snažnog centraliziranog tijela za kibernetičku sigurnost, istovrsnog Europskoj agenciji za sigurnost zračnog prometa (EASA) ili Glavnoj saveznoj službi za informacijsku sigurnost koja je nedavno osnovana u SAD-u (Nacionalni plan djelovanja u području kibernetičke sigurnosti, Bijela kuća, 9. veljače 2016.), čija bi odgovornost bila nadzor nad provedbom politike kibernetičke sigurnosti na razini EU-a i integriranje napora različitih agencija koje djeluju u tom području.

4.2.

Odbor je impresioniran vještinama i znanjima koje je ENISA razvila tijekom godina te vjerujemo da ta agencija može još više pridonijeti sigurnosti i otpornosti kibernetičke sigurnosti Europe. Potrebno je ojačati operativni mandat ENISA-e kako bi podizanje razine osviještenosti o prijetnjama od kibernetičkih napada i povećanje odgovora na njih diljem Europe bilo učinkovitije. Pravi je trenutak za reviziju mandata s obzirom na to da se stanje u području kibernetičke sigurnosti promijenilo od osnivanja ENISA-e. Oslanjajući se na Direktivu o MIS-u, možda se operativna uloga ENISA-e može proširiti kako bi se povećala vrijednost njezina doprinosa EU-u, državama članicama, građanima i poduzećima, i to uporabom njezinih vještina, znanja i sinergija u radu drugih institucija, agencija i tijela EU-a i država članica, kao što su CERT-EU, Europski centar za kibernetički kriminal i Europska obrambena agencija. ENISA-i bi se također trebalo omogućiti preuzimanje neposrednije odgovornosti za programe edukacije i osvješćivanja o kibernetičkoj sigurnosti usmjerene posebno na građane te mala i srednja poduzeća.

4.3.

Pri svom osnivanju 2013. Europski centar za kibernetički kriminal (EC3) raspolagao je operativnim proračunom od samo 7 milijuna EUR, što je manje od 10 % ukupnog proračuna Europola (Memorandum Europske komisije br. 13/6, 9. siječnja 2012.). Direktor EC3-a izjavio je 2014. da su sredstva dodijeljena njegovu odjelu uvelike ograničena uslijed rezova te da je teško održavati korak s brzim razvojem prijetnji kibernetičkog kriminala (Security Magazine, 1. studenog 2014.). EGSO smatra da je potrebno znatno povećati sredstva dodijeljena Europolu za borbu protiv kibernetičkog kriminala kako bi Europol održao korak s rastućim prijetnjama. Proračun Europola za 2016. i dalje iznosi samo 100 milijuna EUR (4).

4.4.

Odbor pozdravlja odredbe Direktive o MIS-u te mjere koje su u Komunikaciji predložene s ciljem poboljšanja suradnje među državama članicama na području kibernetičke sigurnosti. Radi sigurnosti svih građana i postizanja snažne kibernetičke otpornosti diljem EU-a, u kojem su ključne infrastrukture informacijskih sustava često međusobno povezane, važno je da mjere suradnje budu usmjerene na pitanje rastućeg jaza između država s najnaprednijim vještinama i znanjima u području kibernetičke sigurnosti i država članica sa slabije razvijenim vještinama i znanjima.

Bruxelles, 14. prosinca 2016.

Predsjednik Europskog gospodarskog i socijalnog odbora

Georges DASSIS

(1) SL L 194, 19.7.2016., str. 1.

(2) JOIN(2013) 1.

(3) SL C 97, 28.4.2007., str. 21.;

SL C 175, 28.7.2009., str. 92.;

SL C 255, 22.9.2010., str. 98.;

SL C 54, 19.2.2011., str. 58.;

SL C 107, 6.4.2011., str. 58.;

SL C 229, 31.7.2012., str. 90.;

SL C 218, 23.7.2011., str. 130.;