6.4.2011   

HU

Az Európai Unió Hivatalos Lapja

C 107/58

1.1

Az EGSZB teljes mértékben tisztában van azzal, hogy a civil társadalom ma erősen függ az interneten keresztül biztosított szolgáltatásoktól. A civil társadalomnak a saját kiberbiztonságával kapcsolatos viszonylagos tudatlansága aggodalomra ad okot az EGSZB szemében. Az EGSZB véleménye szerint az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) feladata segíteni a tagállamoknak és a szolgáltatóknak általános biztonsági előírásaik javításában, annak érdekében, hogy minden internet-felhasználó megtegye a saját személyes kiberbiztonságához szükséges lépéseket.

1.2

Ezért az EGSZB támogatja az ENISA fejlesztését célzó javaslatot annak érdekében, hogy az ügynökség hozzájáruljon az Unión belüli magas szintű hálózat- és információbiztonsághoz, növelje az ezzel kapcsolatos tudatosságot, és az Európai Unió polgárai, fogyasztói, vállalkozásai és közületi szervezetei javára hálózat- és információbiztonsági kultúrát alakítson ki a társadalomban, ezáltal pedig hozzájáruljon a belső piac zavartalan működéséhez.

1.3

Az ENISA tevékenysége elengedhetetlen az uniós kormányokat, az ipart, a kereskedelmet és a civil társadalmat kiszolgáló hálózati infrastruktúra biztonságos fejlődéséhez. Az EGSZB elvárja, hogy az Európai Bizottság a legszigorúbb teljesítménynormákat írja elő az ENISA számára, és az állandóan változó és megújuló kiberbiztonsági fenyegetések fényében folyamatosan ellenőrizze ezek betartását.

1.4

A NATO, az Europol és az Európai Bizottság által körvonalazott kiberstratégiák mindegyike a tagállamokkal való hatékony együttműködésen múlik, mely utóbbiaknak a kiberbiztonsági ügyekkel foglalkozó belső ügynökségek egész sora áll rendelkezésre. A NATO és az Europol proaktív és operatív stratégiákat irányoz elő. Az Európai Bizottság stratégiáján belül az ENISA nyilvánvalóan fontos alkotóeleme a kritikus informatikai infrastruktúrák védelmével (Critical Information Infrastructure Protection, CIIP) foglalkozó különféle ügynökségek és kirendeltségek bonyolult együttesének. Jóllehet az új rendelet nem szán operatív szerepet az ENISA-nak, az EGSZB mégis ebben az ügynökségben látja a civil társadalmat szolgáló kritikus informatikai infrastruktúrák védelmének fő letéteményesét.

1.5

A tagállami szintű kiberbiztonság operatív felelőssége a tagállamokra hárul, a kritikus informatikai infrastruktúrák védelmére vonatkozó előírások azonban igen eltérőek a 27 tagállamban. Az ENISA-ra hárul az a szerep, hogy a kevésbé fejlett eszközökkel rendelkező tagállamokat elfogadható szintre hozza. Az ENISA feladata, hogy biztosítsa a tagállamok közötti együttműködést és támogassa őket a bevált gyakorlatok alkalmazásában. A határokon átnyúló fenyegetések tekintetében az ENISA-nak figyelmeztető és megelőző szerepet kell betöltenie.

1.6

Az ENISA-nak emellett az EU-n kívüli államokkal való nemzetközi együttműködésben is részt kell vennie. Ez az együttműködés erősen politikai jellegű lesz, az EU számos testületének részvételével, az EGSZB megítélése szerint azonban az ENISA-nak meg kell találnia a helyét a nemzetközi színtéren.

1.7

Az EGSZB úgy véli, hogy az ENISA igen értékes szerepet tölthet be a biztonság területén megvalósuló kutatási projektek elindításában és támogatásában.

1.8

A hatásvizsgálat keretében az EGSZB jelenleg nem támogatja a 4. és az 5. opció teljes körű végrehajtását, ezek révén ugyanis az ENISA operatív ügynökséggé válna. A rohamosan fokozódó fenyegetettség miatt a kiberbiztonság olyan óriási feladatot jelent, hogy a tagállamoknak meg kell őrizniük a fenyegetések elleni proaktív küzdelem iránti képességüket. Az uniós operatív ügynökségek kialakítása rendszerint a tagállamok kompetenciavesztéséhez vezet. A kiberbiztonság terén ennek az ellenkezőjére, a tagállamok kompetencianövelésére van szükség.

1.9

Az EGSZB megérti, hogy az Európai Bizottság szerint az ENISA-nak jól körülhatárolt és ellenőrzött feladatkörrel és ennek megfelelő erőforrásokkal kell rendelkeznie. Ugyanakkor az EGSZB attól tart, hogy az ENISA ötéves, határozott idejű mandátuma gátat szabhat a hosszú távú projekteknek, és ellehetetlenítheti a humántőke és a tudás felhalmozását az ügynökségen belül. Egy meglehetősen kisméretű ügynökség fog egy nagy és egyre növekvő problémát kezelni. Feladatkörének kiterjedtsége miatt az ENISA-nak szakértői csoportokat kell majd foglalkoztatnia. Tevékenysége sokoldalú lesz: rövid távú feladatokat és hosszú távú projekteket egyaránt magában foglal. Ennek megfelelően az EGSZB azt szorgalmazza, hogy az ENISA mandátuma dinamikus legyen, és határozatlan időre szóljon, és időszakos felmérések és értékelések útján folyamatosan kerüljön megerősítésre. Ebben az esetben fokozatosan lehetne a forrásokat kiutalni, mégpedig úgy és akkor, ahogy és amikor az igazolhatóan szükséges.

2.1

Jelen vélemény az ENISA továbbfejlesztését célzó rendeletre vonatkozik.

2.2

Az Európai Bizottság egy 2001-es keltezésű közleményében (COM(2001) 298 végleges) fektette le a hálózat- és információbiztonsággal kapcsolatos politikai megközelítésre vonatkozó első javaslatát. Válaszként a közleményre Daniel Retureau átfogó véleményt (1) dolgozott ki.

2.3

Az Európai Bizottság ezt követően az ENISA felállítását célzó rendeletre tett javaslatot (COM(2003) 63 végleges). A fenti rendeletre vonatkozó EGSZB-véleményt (2) Göran Lagerholm fogalmazta meg. Az ügynökség tényleges felállítására a 460/2004/EK rendelet értelmében került sor.

2.4

Az internet használatának exponenciális növekedésével párhuzamosan az információbiztonság fokozódó gondot jelentett. 2006-ban az Európai Bizottság a biztonságos európai információs társadalomra irányuló stratégiáról szóló közleményt adott ki (COM(2006) 251 végleges). Erről Antonello Pezzini írt véleményt az EGSZB részéről. (3)

2.5

Miközben nőtt az információbiztonság miatt érzett aggodalom, az Európai Bizottság 2009-ben a kritikus informatikai infrastruktúrák védelmét célzó javaslattal állt elő (COM(2009) 149 végleges). Az EGSZB 2009. decemberi plenáris ülésén elfogadott véleményt (4) Thomas McDonogh írta.

2.6

Jelen javaslat az ENISA megerősítését és fejlesztését célozza annak érdekében, hogy hozzájáruljon az Unión belüli magas szintű hálózat- és információbiztonsághoz, növelje az ezzel kapcsolatos tudatosságot, és az Európai Unió polgárai, fogyasztói, vállalkozásai és közületi szervezetei javára hálózat- és információbiztonsági kultúrát alakítson ki a társadalomban, ezáltal pedig hozzájáruljon a belső piac zavartalan működéséhez.

2.7

Ugyanakkor az ENISA nem az EU kiberterének védelme céljából felállítandó egyedüli biztonsági ügynökség. A kiberháború és a kiberterrorizmus elleni válaszadásra a katonai szervek hivatottak. E területen a NATO a legfontosabb szerv. A 2010 novemberében Lisszabonban kiadott új stratégiai elgondolás (lásd: http://www.nato.int/lisbon2010/strategic-concept-2010-eng.pdf) értelmében a NATO „tovább fejleszti a kibertámadások megelőzésére, felderítésére, kivédésére és az azokat követő újbóli talpra állásra szolgáló képességét, beleértve a nemzeti kibervédelmi kapacitások növelését és koordinálását célzó NATO-szintű tervezés alkalmazását, valamennyi NATO-szerv központosított kibervédelem alá való helyezését, valamint a NATO e területen működő éberségi, riasztási és válaszadási rendszerének a tagállamokkal való fokozott integrációját is.”

2.8

AZ Észtországot ért 2007-es kibertámadást követően, 2008. május 14-én került sor a Kibervédelmi Kiválósági Együttműködési Központ (CCD COE) felállítására a NATO kibervédelmi kapacitásának növelése céljából. Az észtországi Tallinnban székelő központot nemzetközi erőfeszítéssel létrehozó és jelenleg pénzügyileg támogató országok: Észtország, Lettország, Litvánia, Németország, Magyarország, Olaszország, Szlovákia és Spanyolország.

2.9

Uniós szinten az elektronikus bűnözés az Europol felelősségi körébe tartozik. Az alábbiakban egy részletet közlünk az Europol által a brit felsőháznak címzett írásos dokumentumból (lásd: http://www.publications.parliament.uk/pa/ld200910/ldselect/ldeucom/68/68we05.htm):

Nyilvánvaló, hogy a bűnüldöző szerveknek lépést kell tartaniuk a bűnözők által elért technikai fejlődéssel annak érdekében, hogy az elkövetni szándékozott vagy elkövetett bűnöket megelőzzék, illetve felderítsék. Emellett a csúcstechnológia határokon átnyúló természete folytán ennek a szakértelemnek az Európai Unió egészében hasonlóan magas szinten kell lennie, hogy elkerülhető legyen a csúcstechnológiai bűnözés büntetlen virágzását lehetővé tevő „gyenge pontok” megjelenése. Ez a kapacitás azonban messze nem egyforma az EU-n belül. Valójában aszimmetrikus fejlődés zajlik; egyes tagországok bizonyos területeken komoly előrelépéseket tesznek, míg más tagországok technológiai hátrányba kerülnek. Ez olyan központi szolgálatot tesz szükségessé, mely valamennyi tagországot segíti a közös fellépések koordinálásában, a megközelítések és a minőségi normák egységesítésének előmozdításában, valamint a bevált gyakorlatok felismerésében és megosztásában. Csak ezen az úton lehetséges az Unión belül egységesen fellépni a csúcstechnológiai bűnözés ellen.

2.10

A csúcstechnológiai bűnözés elleni központot (High Tech Crime Centre, HTCC) 2002-ben állították fel az Europolon belül. Egy viszonylag kisméretű osztályról van szó, amely azonban az Europol e területen végzett munkájának központi elemeként várhatóan növekedni fog a jövőben. A HTCC központi szerepet játszik a koordinációban, az operatív támogatásban, a stratégiai elemzésben és a képzésben. Különösen fontos a képzésben betöltött szerepe. Ezenfelül az Europol létrehozta a kiberbűnözés elleni küzdelem európai platformját (European Cyber Crime Platform, ECCP) is. E utóbbi a következő területekre összpontosít:

2.11

Az EU kiberstratégiáját az európai digitális menetrend „Bizalom és biztonság” című fejezete körvonalazza. A kihívásokat a következőkben ismerteti:

„Mindeddig az internet figyelemreméltóan biztonságosnak, ellenállónak és stabilnak bizonyult, de az informatikai hálózatok és a végfelhasználók készülékei folyamatosan sokféle fenyegetésnek vannak kitéve. Az elmúlt években olyan mértékben elszaporodtak a kéretlen elektronikus üzenetek (spam), hogy mára jelentősen akadályozzák az interneten bonyolódó e-mail-forgalmat (arányuk a különféle becslések alapján 80–98 % között mozog), ráadásul ezek az üzenetek nagymértékben terjesztenek vírusokat és rosszindulatú számítógépes programokat. A személyazonosság-lopások és internetes csalások fokozódó veszélyt jelentenek. A támadások egyre kifinomultabb módon mennek végbe (trójai vírusok, botnetek stb.), indítékuk pedig gyakran anyagi haszonszerzés. Állhat mögöttük politikai motívum is, amint azt az Észtország, Litvánia és Grúzia ellen irányuló közelmúltbeli számítógépes támadások bizonyítják.”

2.12

A menetrend a következő fellépéseket irányozza elő:

6. kulcsintézkedés: A megerősített és magas szintű hálózat- és információbiztonsági politikára irányuló intézkedések bemutatása 2010-ben, beleértve a jogalkotási kezdeményezéseket, így az ENISA korszerűsítésére irányuló kezdeményezést, valamint a számítógépes támadások esetén gyorsabb reakciókat lehetővé tevő intézkedéseket, köztük az EU intézményeit védő számítástechnikai katasztrófaelhárító csoport (Computer Emergency Response Team, CERT) létrehozását;

7. kulcsintézkedés: Az információs rendszerek elleni számítógépes támadások leküzdésére irányuló jelenlegi intézkedések bemutatása 2010-ig, beleértve a jogalkotási kezdeményezéseket; a számítógépes bűnözésre vonatkozó joghatósággal kapcsolatos európai és nemzetközi szintű szabályok bemutatása 2013-ig.

2.13

2010. novemberi közleményében (COM(2010) 673 végleges) az Európai Bizottság az EU belbiztonsági stratégiájának felvázolása révén továbbfejlesztette a menetrendet. Ennek öt célkitűzése közül a harmadik a polgárok és a vállalkozások kibertérbeli biztonsági szintjének emelésére vonatkozik. Három cselekvési program lett tervbe véve, ezek részleteit az alábbi táblázat foglalja össze (a közleményből, amely az alábbi címen érhető el: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0673:FIN:HU:DOC):

2.14

A NATO, az Europol és az Európai Bizottság által körvonalazott kiberstratégiák mindegyike a tagállamokkal való hatékony együttműködésen múlik, mely utóbbiaknak a kiberbiztonsági ügyekkel foglalkozó belső ügynökségek egész sora áll rendelkezésre. A NATO és az Europol proaktív és operatív stratégiákat irányoz elő. Az Európai Bizottság stratégiáján belül az ENISA a kritikus informatikai infrastruktúrák védelmével foglalkozó különféle ügynökségek és kirendeltségek bonyolult együttesének nyilvánvalóan fontos része. Jóllehet az új rendelet nem szán operatív szerepet az ENISA-nak, az EGSZB mégis ebben az ügynökségben látja a civil társadalmat szolgáló kritikus informatikai infrastruktúrák védelmének fő letéteményesét.

3.1

Az ENISA előtt álló nehézség hét tényezőre vezethető vissza:

3.2

Az ENISA-ra vonatkozó javaslat összefogja egyrészről a meglévő politikai rendelkezéseket, másrészről az EU digitális menetrendjében lefektetett új kezdeményezéseket.

3.3

Az ENISA által támogatandó, már létező politikák közé tartoznak a következők:

3.4

Az ENISA által támogatandó új kezdeményezések között találjuk az alábbiakat:

3.5

A jelen javaslat véglegesítését megelőzően az Európai Bizottság öt különböző politikai választási lehetőséget vizsgált meg. Minden egyes lehetőséghez a feladatkörhöz és a forrásokhoz kapcsolódó opciók tartoztak. A választás a harmadik lehetőségre esett. Ez az ENISA jelenlegi feladatköreinek kiterjesztését, valamint a bűnüldöző és a magánélet védelmével foglalkozó hatóságok bevonását jelenti.

3.6

A 3. lehetőség esetében a korszerűsített hálózat- és információbiztonsági ügynökség hozzájárulna:

3.7

A 3. lehetőség esetén minden szükséges forrás az ENISA rendelkezésére állna ahhoz, hogy kielégítő és alapos módon, azaz tényleges hatást gyakorolva végezhesse tevékenységét. Ha több forrás áll rendelkezésére, (5) az ENISA sokkal proaktívabb szerepet játszhat, és több kezdeményezést indíthat el az érdekelt felek tevékeny részvételét ösztönzendő. Az új helyzet ezen felül nagyobb rugalmasságot engedne a folyamatosan változó hálózat- és információbiztonsági környezetben jelentkező fejleményekre való gyors reagálás érdekében.

3.8

A 4. lehetőség a számítógépes támadások elleni küzdelem és a kiberbiztonsági eseményekre való válaszadás tekintetében operatív funkciókat is tartalmaz. A felsorolt feladatok mellett az ügynökség operatív funkciókat is ellátna, így például aktívabb szerepet kapna a kritikus informatikai infrastruktúra védelmére vonatkozó uniós törekvésekben, például a biztonsági események megelőzésében és kezelésében, konkrétan például azáltal, hogy uniós szintű CERT-ként működne a hálózat- és információbiztonság területén, illetőleg azáltal, hogy európai uniós hálózat- és információbiztonsági válságközpontként koordinálná a nemzeti CERT-ek munkáját, ideértve mind a napi szintű rutinfeladatokat, mind pedig a vészhelyzeti szolgáltatásokat.

3.9

A 4. lehetőség a 3. lehetőség esetében elérhetőnél nagyobb operatív szintű hatást fejtene ki. Az Európai Unió hálózat- és információbiztonsági CERT-jeként és a nemzeti szintű CERT-ek munkájának koordinálásával az ügynökség egyebek mellett nagyobb méretgazdaságosság elérését tenné lehetővé az egész EU-t érintő biztonsági események kezelésében, és például a biztonság és az ellenálló képesség fokozásával csökkentené a vállalkozások működési kockázatait. A 4. lehetőség az ügynökség költségvetésének és emberi erőforrásainak jelentős bővítését tenné szükségessé, ami azonban kétségeket ébreszt az ügynökség befogadási kapacitását és költségvetési hatékonyságát illetően az elérendő haszonhoz képest.

3.10

Az 5. lehetőség operatív funkciókat is előirányoz a számítástechnikai bűnözés elleni küzdelemmel foglalkozó bűnüldözési és igazságszolgáltatási szervek támogatása terén. A 4. lehetőségnél felsorolt tevékenységeken túl ez a lehetőség lehetővé tenne az ENISA számára, hogy

3.11

Az 5. lehetőség a 3. és a 4. lehetőséghez képest nagyobb eredményességet biztosítana a számítástechnikai bűnözés elleni küzdelemben azzal, hogy a bűnüldöző és az igazságszolgáltató szervek támogatása érdekében további operatív feladatokat rendelne az ügynökséghez.

3.12

Az 5. lehetőség esetén jelentős mértékben növelni kellene az ügynökség erőforrásait, és ez esetben is ugyanazok az aggályok merülnek fel a befogadóképesség, illetve a költségvetés hatékony felhasználása tekintetében.

3.13

Bár mind a 4., mind az 5. lehetőség nagyobb pozitív hatással járna a 3. lehetőséghez képest, az Európai Bizottság úgy véli, hogy több okból sem célszerű ezeket a lehetőségeket választani.

4.1

Az ügynökség segíti az Európai Bizottságot és a tagállamokat a hálózat- és információbiztonságra vonatkozó jogszabályi és szabályozási természetű kötelezettségek teljesítésében.

4.2

Az igazgatóság meghatározza az ügynökség működésének általános irányát.

4.3

Az igazgatóság tagállamonként egy-egy képviselőből, az Európai Bizottság által kijelölt három képviselőből, valamint az információs és kommunikációs technológiai ágazatot, a fogyasztói csoportokat, illetve a hálózat- és információbiztonság területén működő tudományos szakembereket képviselő egy-egy tagból áll.

4.4

Az ügynökséget a feladatai ellátásában független ügyvezető igazgató vezeti, aki felel az igazgatóság számára jóváhagyásra benyújtott munkaprogram összeállításáért.

4.5

Az ügyvezető igazgató felel a munkaprogramot támogató éves költségvetés megtervezéséért is. Az igazgatóságnak mind a költségvetést, mind a munkaprogramot jóváhagyásra be kell nyújtania az Európai Bizottságnak és a tagállamoknak.

4.6

Az igazgatóság az ügyvezető igazgató javaslatára az informatikai és hírközlési technológiai ágazatot, a fogyasztói csoportokat, a hálózat- és információbiztonság területén működő tudományos szakembereket, valamint a bűnüldöző és a magánélet védelmével foglalkozó hatóságokat képviselő szakértőkből létrehozza az Érdekeltek Állandó Csoportját.

4.7

Mivel a rendelet még csak javaslati szakaszban van, a számadatokat illetően még némi bizonytalanság uralkodik. Jelenleg az ügynökség 44–50 fős személyzettel és 8 millió eurós költségvetéssel működik. A 3. lehetőség esetén elvben 99 fős személyzettel és 17 millió eurós költségvetéssel kellene számolni.

4.8

A rendelet öt éves, határozott idejű megbízatást javasol.