Az Európai Gazdasági és Szociális Bizottság véleménye – Javaslat európai parlamenti és tanácsi rendeletre az Európai Kiberbiztonsági Ipari, Technológiai és Kutatási Kompetenciaközpont és a nemzeti koordinációs központok hálózatának létrehozásáról

(COM(2018) 630 final — 2018/0328 (COD))

(2019/C 159/10)

Előadó: Antonio LONGO

Társelőadó: Alberto MAZZOLA

Felkérés:	Európai Tanács, 2018.10.5. Európai Parlament, 2018.10.1.
Jogalap:	az Európai Unió működéséről szóló szerződés 173. cikkének (3) bekezdése, 188. és 304. cikke
Illetékes szekció:	„Közlekedés, energia, infrastruktúra és információs társadalom”szekció
Elfogadás a szekcióülésen:	2019.1.9.
Elfogadás a plenáris ülésen:	2019.1.23.
Plenáris ülés száma:	540 .
A szavazás eredménye: (mellette/ellene/tartózkodott)	143/5/2

1.   Következtetések és ajánlások

1.1.

Az Európai Gazdasági és Szociális Bizottság (EGSZB) üdvözli az Európai Bizottság kezdeményezését, és úgy véli, hogy az elősegíti a kiberbiztonsági ipari stratégia kidolgozását, és stratégiai jelentősége van egy stabil és széles körű digitális autonómia elérése szempontjából. Ezek a tényezők elengedhetetlenek az európai védelmi mechanizmusok megerősítéséhez a már jelenleg is zajló kiberháborúval szemben, amely a politikai, gazdasági és társadalmi rendszerek aláásásával fenyeget.

1.2.

Az EGSZB kiemeli, hogy bármely kiberbiztonsági stratégia csak akkor működhet, ha minden felhasználó tájékozott, és biztonságos módszereket alkalmaz.

1.3.

Az EGSZB egyetért a javaslatban megfogalmazott általános célkitűzésekkel, és tudatában van annak, hogy egyes működési szempontok további elemzés tárgyát fogják képezni. Mivel azonban rendeletről van szó, úgy véli, hogy az irányításra, a finanszírozásra és a célkitűzések elérésére vonatkozó egyes érzékeny szempontokat előzetesen meg kell határozni. Fontos, hogy a jövőbeli hálózat és a központ a lehető legnagyobb mértékben a tagállamok kiberbiztonsági készségeire és szaktudására építsen, valamint hogy a hatáskörök ne mind a létrehozandó központban csoportosuljanak. Ezenkívül meg kell akadályozni, hogy a jövőbeli hálózat és a központ tevékenységi területei átfedésben legyenek a létező együttműködési mechanizmusokkal és intézményekkel.

1.4.

Az EGSZB a tudományos élet terén és a beruházások terén való stabil kötelezettségvállalások alapján támogatja az együttműködés kiterjesztését az ipari világra, valamint jövőbeli bevonását az igazgatótanácsba. Egy, az Európai Bizottság, a tagállamok és az ipar képviselői által alkotott háromoldalú együttműködést feltételezve, az EU-n kívüli országokból származó vállalatok közül csak azok lehetnek jelen, amelyek már meghonosodtak Európában és teljes mértékben részt vesznek az európai technológiai és ipari alapban, és ezek is csak azzal a feltétellel, ha megfelelő átvilágításnak és ellenőrzésnek vetik alá magukat, továbbá tiszteletben tartják a kölcsönösség elvét és a titoktartási kötelezettséget.

1.5.

A kiberbiztonság minden tagállam közös ügye kell hogy legyen, és – a későbbiekben még meghatározandó módon – mindegyik tagállamnak részt kell vennie az igazgatótanácsban. A tagállamok pénzügyi hozzájárulásai az egyes tagállamok számára kiutalt uniós finanszírozáson alapulhatnak.

1.6.

A javaslatnak jobban kellene részleteznie, hogy a központ milyen módon vehet részt a Digitális Európa program és a Horizont Európa program finanszírozásának koordinálásában, és főként, hogy milyen iránymutatások alapján fogják kiírni és odaítélni az esetleges pályázatokat. Ez a szempont alapvető fontosságú a párhuzamosságok és az átfedések elkerülése érdekében. A költségvetés növelése érdekében az EGSZB javasolja, hogy erősítsék a szinergiákat más uniós pénzügyi eszközökkel (pl. regionális alapok, strukturális alapok, CEF, EFA, InvestEU stb.).

1.7.

Az EGSZB alapvetően fontosnak tartja az európai központ és a nemzeti központok közötti együttműködés és kapcsolattartás módjainak meghatározását. Az is fontos, hogy legalább az igazgatási költségek szintjén a nemzeti központokat az EU finanszírozza, ami megkönnyítené az igazgatás és a kompetenciák harmonizációját, ezáltal csökkentve az európai államok között jelenleg fennálló különbségeket.

1.8.

Az EGSZB emlékeztet a humán tőke fontosságára, és bízik benne, hogy a kompetenciaközpont az egyetemekkel, kutatóközpontokkal és felsőoktatási központokkal együttműködve elő tudja mozdítani a kiváló színvonalú oktatást és képzést, többek között specifikus egyetemi és középiskolai képzések révén. Hasonlóképpen létfontosságú gondoskodni az induló innovatív vállalkozások és a kis- és középvállalkozások specifikus támogatásáról.

1.9.

Az EGSZB szerint alapvetően fontos egyértelműbbé tenni a központ, illetve az Európai Uniós Hálózat- és Információbiztonsági Ügynökség hatáskörébe tartozó illetékességi területeket, illetve a köztük húzódó határvonalakat, világosan meghatározva az együttműködés és a kölcsönös támogatás módjait, valamint elkerülve a hatáskörök átfedéseit és a párhuzamos erőfeszítéseket. Hasonló problémák merülnek fel más, a kiberbiztonsággal foglalkozó szervezetek (például az Európai Védelmi Ügynökség, az EUROPOL és a CERT-EU) kapcsán, és az EGSZB javasolja a különböző egységek közötti strukturált párbeszéd mechanizmusainak kialakítását.

2.   A kiberbiztonság jelenlegi helyzete

2.1.

A kiberbiztonság egyike az EU napirendjén szereplő legfontosabb témáknak, mivel olyan tényező, amely kulcsszerepet játszik az intézmények, a vállalatok és a polgárok védelme terén, és olyan eszköz, amelyre a demokráciák stabilitása érdekében szükség van. A legaggasztóbb jelenségek közé tartozik a rosszindulatú szoftverek exponenciális növekedése, amelyek automatikus rendszerek révén terjednek az interneten, és amelyek száma a 2007-ben mért 130 ezerről immár 8 millióra nőtt (2017-es adat). Ezenkívül az EU kiberbiztonsági termékek és megoldások nettó importőre, ami problémát jelent a gazdasági versenyképesség, valamint a polgári és katonai biztonság terén.

2.2.

Bár az EU jelentős szakértelemmel és tapasztalatokkal rendelkezik a kiberbiztonság területén, az iparágra, az egyetemekre és a kutatóközpontokra irányuló politika még mindig széttöredezett, összehangolatlan és nem vonatkozik rá közös fejlesztési stratégia. Ennek hátterében az áll, hogy a kiberbiztonság területén érintett ágazatok (például energetika, űrkutatás, védelem és közlekedés) nem kapnak elegendő támogatást, és nincsenek kellően kihasználva a polgári kiberbiztonság és a védelem közötti szinergiák.

2.3.

Az egyre gyakoribb kihívások leküzdése érdekében az EU kidolgozta a 2013-as kiberbiztonsági stratégiát, hogy elősegítse egy megbízható, biztonságos és nyílt kiberbiztonsági ökoszisztéma kialakulását (1). Ezt követően 2016-ban elfogadták az első specifikus, a hálózatok és informatikai rendszerek biztonságát szolgáló intézkedéseket (2). Ez a folyamat egy kiberbiztonsággal foglalkozó köz-magán társulás („cPPP”) létrehozásához vezetett.

2.4.

A 2017-ben kiadott, „Ellenálló képesség, elrettentés és védelem: az Unió erőteljes kiberbiztonságának kiépítése”című közlemény (3) hangsúlyozta, hogy garantálni kell a kiberbiztonságot elősegítő alapvető technológiai kapacitások fenntartását és fejlesztését, hiszen csak így lehet garantálni a digitális egységes piac biztonságát, megvédeni a létfontosságú hálózatokat és információs rendszereket, valamint biztosítani a kulcsfontosságú kiberbiztonsági szolgáltatásokat.

2.5.

Tehát az EU-nak olyan pozícióba kell kerülnie, hogy képes legyen önállóan megvédeni digitális eszközeit és folyamatait, valamint versenyezni a globális kiberbiztonsági piacon annak érdekében, hogy stabil és széles körű digitális autonómiát vívjon ki magának (4).

3.   Az Európai Bizottság javaslatai

3.1.

A kompetenciaközpont (vagy röviden: „központ”) feladata elősegíteni és összehangolni a nemzeti központok hálózatának munkáját, valamint támogatni a kiberbiztonsági kompetenciaközösséget, miközben előmozdítja a kiberbiztonsági menetrendet és megkönnyíti az így összegyűlt szaktudáshoz való hozzáférést.

3.2.

A központ mindezt különösen a Digitális Európa program és a Horizont Európa program megfelelő részeinek a támogatások odaítélésével és a közbeszerzések végrehajtásával történő végrehajtása révén fogja megvalósítani. Tekintettel a világ más részein tett jelentős kiberbiztonsági beruházásokra, valamint a szóba jövő európai erőforrások koordinálásának és egyesítésének szükségességére, a kompetenciaközpont a javaslat szerint európai partnerségként, kettős jogi alappal jön létre, ami megkönnyíti az Unió, a tagállamok és/vagy az iparág közös beruházásait.

3.3.

A javaslat arra kötelezi a tagállamokat, hogy arányos összegekkel járuljanak hozzá a kompetenciaközpont és a hálózat tevékenységeihez. Az EU körülbelül 2 milliárd euro pénzügyi támogatást biztosít a Digitális Európa programra; a Horizont Európa programból származó összeget még nem határozták meg; a tagállamoktól származó összesített hozzájárulás semmiképpen sem kevesebb az uniós hozzájárulásnál.

3.4.

A fő döntéshozó szerv az igazgatótanács, amelyben valamennyi tagállam képviselteti magát, de csak a finanszírozásban részt vevő országokat illeti meg szavazati jog. A szavazási rendszer a kettős többség elvén alapul, ami azt jelenti, hogy a határozatokhoz egyrészt a szavazatok 75 %-a szükséges, másrészt pedig az, hogy a támogató szavazatok leadói együttesen az összes pénzügyi hozzájárulás legalább 75 %-át képviseljék. Az Európai Bizottság a szavazatok 50 %-ával rendelkezik. A vállalatokkal, a fogyasztókkal és más érintett érdekeltekkel való párbeszéd biztosítása céljából a központot egy ipari és tudományos tanácsadó testület segíti.

3.5.

A központ szolgálna az EU által javasolt Digitális Európa program és Horizont Európa program keretében a kiberbiztonsági célokra fordítandó uniós pénzügyi források fő végrehajtási testületeként, szoros együttműködést folytatva a nemzeti koordinációs központok hálózatával és a kiberbiztonsági kompetenciaközösséggel.

3.6.

A nemzeti koordinációs központokat a tagállamok választják majd ki. A központoknak saját kiberbiztonság-technológiai szaktudással vagy ehhez való közvetlen hozzáféréssel kell rendelkezniük, különösen a kriptográfia, az IKT biztonsági szolgáltatások, a behatolásérzékelés, a rendszerbiztonság, a hálózati biztonság, a szoftver- és alkalmazásbiztonság, valamint a biztonság és az adatvédelem emberi és társadalmi szempontjai terén. Ezenfelül alkalmasnak kell lenniük az ágazattal és a közszférával való hatékony együttműködésre és koordinációra, beleértve az (EU) 2016/1148 irányelv alapján kijelölt hatóságokat is.

4.   Általános észrevételek

4.1.

Az EGSZB üdvözli az Európai Bizottság kezdeményezését, és úgy gondolja, annak stratégiai jelentősége van a kiberbiztonság fejlődésének szempontjából, és érvényesíti a 2017. szeptemberi tallinni csúcstalálkozón hozott döntéseket. A csúcstalálkozón az állam- és kormányfők megfogalmazták azt a célkitűzést, hogy az EU „2025-re legyen a kiberbiztonság területének globális vezetője – erre polgáraink, fogyasztóink és vállalkozásaink bizalmának és online biztonságának megőrzése, valamint az internet szabadságának és törvényes működésének garantálása érdekében van szükség”.

4.2.

Az EGSZB felhívja a figyelmet arra, hogy napjainkban valódi kiberháború zajlik, amely a politikai, gazdasági és társadalmi rendszerek aláásásával fenyeget, és amely megtámadja intézmények, kritikus fontosságú infrastruktúrák (energia, közlekedés, bankok és pénzintézetek) és vállalkozások informatikai rendszerét, továbbá – részben álhírek révén – befolyásolja a választásokat és általában véve a demokratikus folyamatokat (5). Ezért magas szintű tájékozottságra, valamint határozott és gyors reakcióra van szükség. Ennek következtében a digitális autonómia elérésének elengedhetetlen előfeltételeként világos és megfelelően támogatott ipari stratégiát kell kialakítani a kiberbiztonság terén. Az EGSZB úgy véli, hogy a munkaprogramnak az (EU) 2016/1148 irányelv által megjelölt ágazatok számára kell prioritást biztosítania, azaz a társadalmi jelentőségükből adódóan alapvető szolgáltatásokat nyújtó vállalatok számára (legyenek azok köz- vagy magáncégek) (6).

4.3.

Az EGSZB kiemeli, hogy bármely kiberbiztonsági stratégia csak akkor működhet, ha minden felhasználó tájékozott, és biztonságos módszereket alkalmaz. Emiatt minden technológiai kezdeményezést megfelelő tájékoztatási és tudatosságnövelő kampánynak kell kísérnie, a „digitális biztonság kultúrájának”megteremtése érdekében (7).

4.4.

Az EGSZB egyetért a javaslatban megfogalmazott általános célkitűzésekkel, és tudatában van annak, hogy egyes működési szempontok további elemzés tárgyát fogják képezni. Mivel azonban rendeletről van szó, úgy véli, hogy az irányításra, a finanszírozásra és a célkitűzések elérésére vonatkozó egyes érzékeny szempontokat előzetesen meg kell határozni. Fontos, hogy a jövőbeli hálózat és a központ a lehető legnagyobb mértékben a tagállamok kiberbiztonsági készségeire és szaktudására építsen, valamint hogy a hatáskörök ne mind a létrehozandó központban csoportosuljanak. Ezenkívül meg kell akadályozni, hogy a jövőbeli hálózat és a központ tevékenységi területei átfedésben legyenek a létező együttműködési mechanizmusokkal és intézményekkel.

4.5.

Az EGSZB emlékeztet arra, hogy TEN/646. számú, a kiberbiztonsági jogszabályról szóló véleményében (8) háromoldalú PPP-együttműködést javasolt az Európai Bizottság, a tagállamok és az ipari ágazat között, bevonva a kis- és középvállalkozásokat is, míg a jelenlegi struktúra, amelynek jogi formáját ki kell dolgozni, lényegében egy, az Európai Bizottság és a tagállamok közötti, közszektoron belüli partnerségből áll.

4.6.

Az EGSZB a tudományos élet terén és a beruházások terén való stabil kötelezettségvállalások alapján támogatja az együttműködés kiterjesztését az ipari világra, valamint jövőbeli bevonását az igazgatótanácsba. Lehetséges, hogy egy ipari és tudományos tanácsadó testület létrehozása nem garantálja majd a folyamatos párbeszédet a vállalatokkal, a fogyasztókkal és más érintett érdekeltekkel. Emellett nem világos, hogy az Európai Bizottság által felvázolt új kontextusban milyen szerepet fog betölteni az Európai Kiberbiztonsági Szervezet (ECSO). Ezt a szervezetet 2016 júniusában európai bizottsági kezdeményezésre hozták létre az Európai Bizottság partnereként, és nem szabad szétforgácsolni a hálózati és szakmai tőkéjét.

4.6.1.

Egy háromoldalú együttműködés esetén fontos figyelmet szentelni az EU-n kívüli országokból származó cégek kérdésének. Az EGSZB különösen azt emeli ki, hogy az együttműködésnek szigorú mechanizmuson kell alapulnia, amely megakadályozza olyan, EU-n kívüli országokból származó vállalatok jelenlétét, amelyek gátolhatják az Európai Unió biztonságát és autonómiáját. Az európai védelmi ipari fejlesztési programban (9) meghatározott megfelelő rendelkezéseket kell alkalmazni ebben az összefüggésben is.

4.6.2.

Ugyanakkor az EGSZB elismeri, hogy azok az EU-n kívüli országokból származó vállalatok, amelyek Európában már jó ideje tevékenykednek és teljes mértékben részt vesznek az európai technológiai és ipari alapban, nagyon hasznosak lehetnek a közösségi projektek szempontjából, és hozzáférést kell biztosítani számukra, azzal a feltétellel, hogy a tagállamok megfelelő átvilágítási és ellenőrzési mechanizmusokat alakítanak ki e vállalatokra vonatkozóan, és hogy e vállalatok tiszteletben tartják a kölcsönösség elvét és a titoktartási kötelezettséget.

4.7.

A kiberbiztonság minden tagállam közös ügye kell hogy legyen, és – a későbbiekben még meghatározandó módon – mindegyik tagállamnak részt kell vennie az igazgatótanácsban. Ugyanilyen fontos, hogy minden tagállam megfelelő pénzügyi hozzájárulást nyújtson az Európai Bizottság kezdeményezéséhez. A tagállamok pénzügyi hozzájárulásai az egyes tagállamok számára kiutalt uniós finanszírozáson alapulhatnak.

4.8.

Az EGSZB egyetért azzal, hogy minden tagállam szabadon jelölhesse ki képviselőjét az európai kompetenciaközpont igazgatótanácsába. Az EGSZB ajánlja, hogy egyértelműen határozzák meg a nemzeti képviselők profilját, amely a stratégiai és technológiai kompetenciák mellett a vezetői, igazgatási és költségvetési készségeket is magában foglalja.

4.9.

A javaslatnak jobban kell részleteznie, hogy a központ milyen szerepet fog vállalni a Digitális Európa program és a Horizont Európa program jelenleg még tárgyalás alatt lévő finanszírozásának koordinálásában, és hogy milyen irányvonalak alapján fogják kiírni és odaítélni az esetleges pályázatokat. Ez a szempont alapvető fontosságú a párhuzamosságok és az átfedések elkerülése érdekében. A költségvetés növelése érdekében az EGSZB javasolja, hogy erősítsék a szinergiákat más uniós pénzügyi eszközökkel (pl. regionális alapok, strukturális alapok, CEF, EFA, InvestEU). Az EGSZB reméli, hogy a nemzeti központok hálózatát is bevonják az alapok irányításába és koordinálásába.

4.10.

Az EGSZB megjegyzi, hogy a tanácsadó testületnek 16 tagból kellene állnia, valamint hogy nem részletezik, milyen mechanizmusok révén kell a testületnek a vállalkozások, az egyetemek, a kutatás és a fogyasztók világához kapcsolódnia. Az EGSZB szerint hasznos és célszerű lenne, ha a testület tagjai magas szintű szakértelemmel rendelkeznének a témában, valamint kiegyensúlyozott módon képviselnék a különböző érintett ágazatokat.

4.11.

Az EGSZB alapvetően fontosnak tartja az európai központ és a nemzeti központok közötti együttműködés és kapcsolattartás módjainak meghatározását. Az is fontos, hogy legalább az igazgatási költségek szintjén a nemzeti központokat az EU finanszírozza, ami megkönnyítené az igazgatás és a kompetenciák harmonizációját, ezáltal csökkentve az európai államok között jelenleg fennálló különbségeket.

4.12.

Korábbi véleményeivel összhangban (10) az EGSZB hangsúlyozza a kiberbiztonsági ágazatban dolgozók kiváló színvonalú oktatásának és képzésének fontosságát, többek között szakosodott iskolai, egyetemi és posztgraduális kurzusok keretében. Hasonlóan fontos megfelelő pénzügyi támogatást biztosítani az ágazaton belüli kkv-k és az induló innovatív vállalkozások számára (11), amelyek létfontosságúak a magas színvonalú kutatás fejlődése szempontjából.

4.13.

Az EGSZB szerint alapvetően fontos egyértelműbbé tenni a központ, illetve az Európai Uniós Hálózat- és Információbiztonsági Ügynökség hatáskörébe tartozó illetékességi területeket, illetve a köztük húzódó határvonalakat, világosan meghatározva az együttműködés és a kölcsönös támogatás módjait, valamint elkerülve a hatáskörök átfedéseit és a párhuzamos erőfeszítéseket (12). A rendeletre irányuló javaslat szerint az Európai Uniós Hálózat- és Információbiztonsági Ügynökség küldöttje állandó megfigyelőként lehetne jelen az igazgatótanácsban, ez azonban nem biztosítja a két szervezet közötti strukturált párbeszédet. Hasonló problémák merülnek fel más, a kiberbiztonsággal foglalkozó szervezetek (például az Európai Védelmi Ügynökség, az Europol és a CERT-EU) kapcsán is. Ezzel összefüggésben érdekes a 2018 májusában az Európai Uniós Hálózat- és Információbiztonsági Ügynökség, az Európai Védelmi Ügynökség, az EUROPOL és a CERT-EU által aláírt egyetértési megállapodás.

---

(1)  JOIN(2013) 1 final.

(2)  Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről (HL L 194., 2016.7.19., 1. o.).

(3)  JOIN(2017) 450 final

(4)  HL C 227, 2018.6.28., 86. o.

(5)  Tájékoztató jelentés: „Médiahasználat társadalmi és politikai folyamatok befolyásolására az EU-ban és a keleti szomszédos országokban”, előadó: Indrė VAREIKYTĖ, 2014.

(6)  HL C 227, 2018.6.28., 86. o.

(7)  HL C 227, 2018.6.28., 86. o.

(8)  HL C 227, 2018.6.28., 86. o.

(9)  COM(2017) 294.

(10)  HL C 451., 2014.12.16., 25. o.

(11)  HL C 227, 2018.6.28., 86. o.

(12)  HL C 227, 2018.6.28., 86. o.