19.9.2013   

LT

Europos Sąjungos oficialusis leidinys

C 271/133

1.1

Komitetas siūlomą direktyvą nagrinėja šiek tiek plačiau, atsižvelgdamas į neseniai paskelbtą Kibernetinio saugumo strategiją (1), kurioje pateikta išsami tinklų ir informacijos saugumo (TIS) vizija, siekiant užtikrinti galimybę skaitmeninei ekonomikai saugiai augti, nepamirštant toliau puoselėti Europos laisvės ir demokratijos vertybių;

1.2

EESRK palankiai vertina šį pasiūlymą dėl direktyvos, siekiant užtikrinti aukštą bendrą tinklų ir informacinių sistemų saugumo lygį visoje Europos Sąjungoje. Tinklų ir informacijos saugumo suvienodinimas ir valdymas yra labai svarbūs bendrosios skaitmeninės rinkos įgyvendinimui ir sklandžiam visos vidaus rinkos veikimui. Komitetas, kaip ir Komisija, nerimauja dėl didžiulės žalos, kuri galėtų būti padaryta ekonomikai ir piliečių gerovei, jeigu sumažėtų TIS. Tačiau siūloma direktyva nepateisina Komiteto lūkesčių dėl tvirtos teisėkūros priemonės šiuo labai svarbiu klausimu.

1.3

Komitetas itin nusivylęs, kad daugelio valstybių narių pažanga įgyvendinant veiksmingą TIS nacionaliniu lygiu yra labai menka. EESRK apgailestauja, kad dėl tokios padėties padidėjo rizika piliečiams ir daromas neigiamas poveikis bendrosios skaitmeninės rinkos sukūrimui. Visos valstybės narės turėtų imtis neatidėliotinų veiksmų ir įvykdyti savo įsipareigojimus dėl TIS.

1.4

Tokia menka pažanga gilina skaitmeninį atotrūkį tarp elitinės grupės, kurios TIS yra itin aukšto lygio, ir mažiau pažengusių valstybių narių. Šis atotrūkis mažina pasitikėjimą TIS ir kenkia ES masto bendradarbiavimui TIS srityje; jeigu ši problema nebus kuo skubiau sprendžiama, gali sutrikti vidaus rinkos veikimas dėl valstybių narių skirtingų pajėgumų.

1.5

EESRK jau ankstesnėse nuomonėse (2) teigė, kad bandomosios, savanoriškos priemonės nėra veiksmingos ir mano, kad valstybėms narėms būtina nustatyti griežtus reguliavimo įpareigojimus, siekiant užtikrinti Europos TIS suvienodinimą, valdymą ir vykdymą. Deja, EESRK mano, kad šis pasiūlymas dėl direktyvos nėra aiškus ir ryžtingas teisės aktas, kokio reikėtų. Komitetas mano, kad siekiant užtikrinti aukštą bendrą reikalingą TIS lygį, būtų veiksmingiau parengti reglamentą, kuriame būtų griežtai apibrėžti privalomi įpareigojimai valstybėms narėms, o ne direktyvą.

1.6

Nepaisant Europos Komisijos ketinimo priimti deleguotuosius aktus, skirtus užtikrinti tam tikras vienodas sąlygas kai kurioms direktyvos nuostatoms įgyvendinti, Komitetas mano, kad siūlomame teisės akte trūksta standartų, aiškių apibrėžčių ir besąlygiškų įpareigojimų, todėl valstybėms narėms suteikta pernelyg daug laisvės aiškinti labai svarbias nuostatas ir jas perkelti į nacionalinę teisę. Komitetas norėtų, kad šiame teisės akte standartai, reikalavimai ir procedūros, nustatytos valstybėms narėms, rinkos dalyviams ir pagrindiniams interneto paslaugų teikėjams, būtų kur kas aiškiau apibrėžti.

1.7

Siekiant užtikrinti tvirtos TIS politikos formavimą ir įgyvendinimą Europos Sąjungoje, Komitetas norėtų, kad būtų sukurta ES lygmens TIS institucija, panaši į aviacijos pramonėje sukurtą centrinę instituciją (EASA) (3). Tokia institucija nustatytų standartus ir stebėtų visų TIS reikalavimų įgyvendinimą Sąjungoje: nuo saugių galinių prietaisų sertifikavimo ir naudojimo iki tinklų ir duomenų saugumo.

1.8

EESRK puikiai suvokia padidėjusią riziką kibernetiniam saugumui ir duomenų apsaugai Europoje dėl debesų kompiuterijos (4). Komitetas norėtų, kad siūlomame teisės akte būtų aiškiai nustatyti specialūs papildomi saugumo reikalavimai ir įpareigojimai dėl debesų kompiuterijos paslaugų teikimo ir naudojimosi šiomis paslaugomis.

1.9

Kad atsakomybė už TIS būtų tinkama, teisės akte turėtų būti aiškiai numatyta, kad ūkio subjektai, kuriems taikomi šioje direktyvoje nustatyti įpareigojimai, turi teisę reikalauti, kad programinės įrangos ir kompiuterinės technikos tiekėjai atsakytų už visus savo produktų ar paslaugų, tiesiogiai susijusių su TIS incidentais, trūkumus.

1.10

EESRK ragina valstybes nares ypatingą dėmesį skirti mažų ir vidutinių įmonių (MVĮ) informavimui apie TIS ir kibernetinio saugumo įgūdžių ugdymui. Be to, Komitetas atkreipia Komisijos dėmesį į sėkmingai vykstančius „įsilaužėlių konkursus“ JAV (5) ir kai kuriose valstybėse narėse (6), didinant informuotumą kibernetinio saugumo klausimu ir ugdant naujos kartos TIS specialistus.

1.11

Kadangi svarbu, kad visos valstybės narės laikytųsi tinklų ir informacinio saugumo reikalavimų visoje ES, EESRK prašo Komisijos apsvarstyti, kokį daugiametės finansinės programos finansavimą būtų galima skirti TIS reikalavimų laikymuisi, kad padėtų toms valstybėms narėms, kurioms reikalinga finansinė pagalba.

1.12

Išlaidos TIS technologijų moksliniams tyrimams, technologijų plėtrai ir inovacijoms turėtų tapti vienu svarbiausių ES Bendrosios mokslinių tyrimų ir inovacijų programos „Horizontas 2020“ prioritetu, kad Europa tinkamai atsižvelgtų į sparčiai kintančias kibernetines grėsmes.

1.13

Kad būtų aišku, kuriems subjektams tenka siūlomame akte numatyta teisinė atsakomybė, EESRK norėtų, kad kiekviena valstybė narė būtų įpareigota paskelbti internetinį visų subjektų, kurie privalo laikytis direktyvoje numatytų rizikos valdymo ir pranešimo reikalavimų, katalogą. Toks skaidrumas ir vieša atskaitomybė išugdytų pasitikėjimą ir padėtų laikytis įsipareigojimų.

1.14

Komitetas atkreipia Komisijos dėmesį į didelį skaičių ankstesnių EESRK nuomonių, kuriose buvo nagrinėjama tinklų ir informacijos saugumo tema bei teikiamos pastabos dėl būtinos saugios informacinės visuomenės ir ypatingos svarbos infrastruktūros apsaugos (7).

2.1

Siūloma TIS direktyva buvo paskelbta kartu su ES kibernetinio saugumo strategija, kuria siekiama stiprinti informacinių sistemų atsparumą, sumažinti elektroninių nusikaltimų skaičių, stiprinti ES tarptautinio kibernetinio saugumo ir kibernetinės gynybos politiką bei plėtoti pramoninius ir technologinius išteklius kibernetiniam saugumui užtikrinti, kartu remiant pagrindines teises ir kitas pagrindines ES vertybes.

2.2

TIS yra susijęs su interneto ir kitų tinklų, informacinių ir pagrindinių paslaugų, palaikančių mūsų visuomenės funkcionavimą, saugumu. TIS labai svarbus sklandžiam vidaus rinkos veikimui.

2.3

Grynai savanoriškas požiūris į TIS, kurio ES laikomasi iki šiol, neužtikrina pakankamos apsaugos nuo TIS rizikos. Egzistuojančių TIS pajėgumų nepakanka, kad būtų tinkamai atsižvelgiama į sparčiai kintančias grėsmes pasaulyje ir būtų užtikrintas aukštas bendras apsaugos lygis visose valstybėse narėse.

2.4

Šiandien valstybių narių pajėgumų ir parengties lygis yra labai skirtingas, todėl visoje ES susiformavo skirtingi požiūriai į TIS. Atsižvelgiant į tai, kad tinklai ir sistemos yra tarpusavyje susiję, tos valstybės narės, kuriose apsaugos lygis yra nepakankamas, mažina bendrą visos ES tinklų ir informacijos saugumą. Tokia situacija taip pat trukdo kurti tarpusavio pasitikėjimą, kuris yra būtina bendradarbiavimo ir dalijimosi informacija sąlyga. Dėl to bendradarbiavimas vyksta tik tarp mažumos valstybių narių, kurių pajėgumai yra dideli.

2.5

Šios direktyvos, pasiūlytos pagal SESV 114 straipsnį, tikslas – palengvinti bendrosios skaitmeninės rinkos sukūrimą ir sklandų vidaus rinkos veikimą:

2.6

Pasiūlytoje direktyvoje nustatyti teisiniai reikalavimai:

2.7

Valstybės narės šią direktyvą turės įgyvendinti per 18 mėnesių nuo tada, kai ją priims Taryba ir Europos Parlamentas (tikimasi kažkuriuo metu 2014 m.).

3.1

Interneto ir skaitmeninės visuomenės augimas daro labai didelį poveikį kasdieniam mūsų gyvenimui. Kadangi mūsų priklausomybė nuo interneto didėja, mūsų laisvė, gerovė ir gyvenimo kokybė vis dažniau priklauso nuo tinkamo tinklų ir informacijos saugumo: jeigu internetas neveikia, skubios pagalbos atvejais negalima pasinaudoti internetinėmis paciento kortelėmis ir žmonės mirs. Tačiau Europos ypatingos svarbos informacinės struktūros saugumui kyla vis didesnė grėsmė ir mūsų TIS lygis nėra pakankamas.

3.2

Pernai Europolo direktorius pareiškė, kad jis „labai sunerimęs dėl tokio didelio, niekuo nepagrįsto tikėjimo, kad internetas yra nesugadinamas“ (8). Dažnai girdime apie naujus nusikaltėlių, teroristų ar užsienio vyriausybių vykdomus kibernetinius išpuolius prieš ypatingos svarbos infrastruktūrą. Nukentėjusieji dažnai nepraneša apie šiuos išpuolius, bijodami, kad dėl to nukentės jų reputacija; tačiau pastarosiomis savaitėmis buvome išpuolių prieš Europos interneto infrastruktūrą (9) ir bankininkystės sistemas (10) liudininkais. Šie išpuoliai padarė pernelyg didelę žalą, kad juos būtų buvę galima nuslėpti. Viename pranešime (11) teigiama, kad Nyderlandai patyrė 92 mln. kibernetinių išpuolių 2011 m., Vokietija – 82 mln. JK vyriausybės duomenimis 2011 m. JK patyrė 44 mln. išpuolių, kurie ekonomikai kainavo ne mažiau kaip 30 mlrd. EUR (12).

3.3

2007 m. ES Taryba pradėjo svarstyti Europos TIS problemą (13). Tačiau nuo tada buvo laikomasi politikos požiūrio (14), dažniausiai grindžiamo valstybių narių savanoriškais veiksmais, ir tik labai nedaugelis valstybių narių ėmėsi veiksmingų priemonių. Komitetas atkreipia dėmesį į tai, kad didelis skaičius valstybių narių nei paskelbė savo nacionalinės kibernetinio saugumo strategijos, nei parengė nacionalinio kibernetinių incidentų plano nenumatytoms aplinkybėms; kai kurios valstybės narės netgi nėra sukūrusios kompiuterinių incidentų tyrimo tarnybos (CERT).Be to, keletas valstybių narių dar nėra ratifikavusios Europos Tarybos konvencijos dėl elektroninių nusikaltimų (15).

3.4

Dešimt valstybių narių, kurių TIS yra aukšto lygio, sukūrė Europos tarpvyriausybinių CERT (EGC) grupę, kad būtų glaudžiai bendradarbiaujama TIS ir atsakomųjų veiksmų į incidentus klausimais. Daugiau narių į EGC šiuo metu nebepriimama: kitos 17 mažiau pažengusių TIS srityje valstybių narių ir naujai sukurta CERT-ES (16) šiuo metu neįeina į šią elitinę grupę. Atsiranda naujas skaitmeninis atotrūkis tarp TIS srityje pažengusių valstybių narių ir likusių valstybių. Jeigu šis skirtumas nebus sumažintas, TIS atotrūkis smogs į skaudžiausią bendrosios skaitmeninės rinkos vietą, pakirsdamas pasitikėjimą, apribodamas suvienodinimo ir sąveikumo galimybes.Be to, jeigu nebus imtasi griežtų priemonių, atotrūkis tarp pažengusių ir menkai pažengusių valstybių narių gali didėti, dažniau pasitaikys vidaus rinkos veikimo sutrikimų dėl valstybių narių skirtingų pajėgumų.

3.5

Kibernetinio saugumo strategijos sėkmingumas ir siūlomos TIS direktyvos veiksmingumas priklausys nuo TIS pramonės Europoje stiprumo ir pakankamo darbuotojų, turinčių specializuotų TIS žinių, skaičiaus. EESRK patenkintas, kad siūlomoje direktyvoje yra nuostata dėl būtinybės valstybėms narėms investuoti į švietimą, suvokimo ugdymą ir mokymą apie NIS. Be to, Komitetas norėtų, kad kiekviena valstybė narė imtųsi specialių priemonių informuoti, šviesti ir remti MVĮ sektorių kibernetinio saugumo tema. Didžiosios įmonės gali lengvai gauti joms reikiamų žinių, bet MVĮ reikia paramos.

3.6

EESRK tikisi bendradarbiauti su Europos tinklų ir informacijos apsaugos agentūra (ENISA), siekiant TIS propaguoti projekto „Kibernetinio saugumo sąmoningumo mėnuo“ metu šiais metais. Komitetas, kalbėdamas apie Kibernetinio saugumo strategijos ir TIS direktyvos tikslą kurti saugumo kultūrą visoje Sąjungoje ir padidinti TIS įgūdžių lygį, atkreipia Komisijos dėmesį į paaugliams skirtus „įsilaužėlių konkursus“; tokie renginiai sėkmingai padidino sąmoningumo lygį šiuo klausimu kelete valstybių narių ir JAV.

3.7

Be to, Komitetas palankiai vertina Kibernetinio saugumo strategijoje numatytą įpareigojimą moksliniams tyrimams, technologijų plėtrai ir inovacijoms skirtas lėšas panaudoti NIS technologijoms.

3.8

Didėjant debesų kompiuterijos paslaugų mastui kyla daugiau kibernetinio saugumo rizikos problemų, kurias būtina spręsti. Pavyzdžiui, šiuo metu kibernetiniai nusikaltėliai labai dideliais kompiuteriniais pajėgumais gali pasinaudoti už santykinai mažą kainą; tūkstančių bendrovių duomenys yra laikomi centralizuotose duomenų saugyklose, į kurias nesunkiai gali būti įsilaužiama tikslinių išpuolių metu. EESRK ragina užtikrinti didesnį debesų kompiuterijos kibernetinį atsparumą (17).

3.9

Jau anksčiau Komitetas ragino sukurti savanorišką ES elektroninės atpažinties sistemą elektroniniams sandoriams atlikti, kuri papildytų esamas nacionalines sistemas. Sukūrus sistemą, būtų lengviau užtikrinti didesnę apsaugą nuo sukčiavimo, ūkinės veiklos vykdytojai labiau pasitikėtų vieni kitais, sumažėtų paslaugų kainos, pagerėtų jų kokybė ir piliečių apsauga.

4.1

Deja, bet šiam Komisijos pasiūlymai dėl TIS direktyvos trūksta užmojo, aiškumo ir pernelyg daug paliekama valstybių narių savireguliavimui. Standartų, aiškių apibrėžčių ir besąlygiškų įpareigojimų, ypač direktyvos IV dalyje, trūkumas suteikia valstybėms narėms pernelyg daug laisvės aiškinti labai svarbias nuostatas ir jas perkelti į nacionalinę teisę. Reglamentas, kuriame būtų tiksliai apibrėžti privalomi valstybių narių teisiniai įpareigojimai, būtų kur kas veiksmingesnis už direktyvą.

4.2

Komitetas atkreipia dėmesį į tai, kad Direktyvos 6 straipsnyje reikalaujama, kad kiekviena valstybė narė paskirtų „kompetentingą instituciją“ stebėti ir užtikrinti nuoseklų direktyvos taikymą visoje ES. Be to, pagal 8 straipsnio nuostatas sukuriamas „bendradarbiavimo tinklas“, kuris, pasinaudodamas bendradarbiavimo tinklui ir Komisijai suteiktais įgaliojimais, užtikrins vadovavimą, valdymą visos Europos mastu, o prireikus ir vykdymo užtikrinimą valstybių narių lygmeniu. EESRK mano, kad, remiantis tokia valdymo struktūra, ES turėtų pagalvoti apie galimybę sukurti ES lygmens instituciją TIS sričiai; tokia institucija būtų panaši į Europos aviacijos saugos agentūrą (EASA), nustatančią orlaiviams, oro uostams ir oro vežėjams veiklos standartus, ir atsakingą už šių reikalavimų vykdymo užtikrinimą.

4.3

Pirmiau 4.2 punkte Komiteto pasiūlyta ES lygmens TIS institucija galėtų būti sukurta remiantis ENISA, Europos standartizacijos komiteto (CEN), CERT, Europos tarpvyriausybinės kompiuterinių incidentų tyrimo tarnybų grupės (EGC) ir kitų organizacijų atliktu darbu kibernetinio saugumo srityje. Tokia institucija nustatytų standartus ir stebėtų visų TIS elementų įgyvendinimą: nuo saugių galinių prietaisų sertifikavimo ir naudojimo iki tinklų ir duomenų saugumo.

4.4

Atsižvelgdamas į didelę valstybių narių tarpusavio priklausomybę užtikrinant TIS visoje Sąjungoje, ir dėl itin didelių galimų TIS sąnaudų, EESRK norėtų, kad ES teisės aktuose būtų nustatytos aiškios ir proporcingos sankcijos už reikalavimų nesilaikymą, kad teisės aktai būtų suderinti, kad juose būtų numatytas paneuropinis atsakomybės matmuo už žalą ir žalos, kuri galėtų būti padaryta ne tik vietos rinkai, bet ir visai Sąjungai, mastas. Direktyvos 17 straipsnis, kuris skirtas sankcijoms, yra bendro pobūdžio, pernelyg daug laisvės suteikiama pačioms valstybėms narėms nustatyti sankcijas ir nepakankamai pabrėžiama, jog būtina atsižvelgti į tarpvalstybinį poveikį ir poveikį visos Europos mastu.

4.5

Šiandien vyriausybės ir gyvybiškai svarbių paslaugų teikėjai apie saugumo pažeidimus ir sistemų neatsparumą skelbia tik tuo atveju, kai priversti tai padaryti. Toks informacijos neatskleidimas kenkia Europos gebėjimui sparčiai ir veiksmingai reaguoti į kibernetines grėsmes ir padidinti bendrą TIS mokantis vieniems iš kitų. Komitetas giria Komisiją už sprendimą teikti privalomus pranešimus apie visus rimtus TIS incidentus pagal šios direktyvos nuostatas. EESRK nemano, kad savanoriškas pranešimas apie incidentus pasiteisintų, nes baimė dėl reputacijos ir atsakomybės už padarytą žalą skatina nuslėpti nesėkmes.

4.6

Tačiau direktyvos 14 straipsnyje, skirtame pranešimams, nėra incidentų, turinčių „didelį poveikį“ saugumui, apibrėžties, todėl atitinkami subjektai ir valstybės narės daugeliu atvejų gali pačios spręsti, ar pranešti apie TIS incidentus, ar ne. Kad teisės aktai būtų veiksmingi, neturi būti dviprasmiškų reikalavimų. Kadangi pasiūlytoje direktyvoje pernelyg neaiškiai apibrėžti reikalavimai, negalima laikyti šalių atsakingomis už reikalavimų nesilaikymą, kurie nustatyti direktyvos 17 straipsnyje.

4.7

Kadangi NIS paslaugų teikimas dažniausiai priklauso privačiajam sektoriui, svarbu skatinti didelį pasitikėjimą ir bendradarbiavimą su visomis už ypatingos svarbos informacinę infrastruktūrą ir paslaugas atsakingomis įmonėmis. Reikia pagirti ir paremti Europos Komisiją už 2009 m. pradėtą įgyvendinti Europos viešojo ir privačiojo sektoriaus partnerystę atsparumui užtikrinti (EP3R) iniciatyvą. Vis dėlto Komitetas mano, jog iniciatyvą būtina sustiprinti ir paremti nustatant TIS teisės akte privalomą įpareigojimą, priverčiantį svarbius suinteresuotuosius subjektus bendradarbiauti.

4.8

Kiekviena valstybė narė turėtų paskelbti internetinį visų jos jurisdikcijai priklausančių subjektų, kuriems nustatyti saugumo reikalavimai ir kurie turi teikti pranešimus apie incidentus pagal pasiūlytos direktyvos 14 straipsnį, katalogą. Ir aiškinimas, kaip kiekviena valstybė narė nusprendžia taikyti šio teisės akto 3 straipsnio apibrėžtį, ir toks skaidrumas padėtų įgyti piliečių pasitikėjimą ir paskatintų kurti rizikos valdymo kultūrą.

4.9

EESRK atkreipia dėmesį į tai, kad programinės įrangos kūrėjams ir kompiuterinės technikos gamintojams šios direktyvos reikalavimai yra akivaizdžiai netaikomi, nes jie nėra informacinės visuomenės paslaugų teikėjai. Tačiau Komitetas mano, kad pasiūlytame teisės akte turėtų būti aiškiai nurodyta, kad tie subjektai, kuriems taikomi direktyvoje nustatyti įpareigojimai, turi teisę reikalauti programinės įrangos ir kompiuterinės technikos tiekėjų atsakyti už visus savo produktų ar paslaugų, tiesiogiai susijusių su TIS incidentais, trūkumus.

4.10

Nors Komisija įvertino, kad siūlomos TIS direktyvos įgyvendinimas kainuos apie 2 mlrd. EUR per metus, kartu paėmus ir viešąjį, ir privatųjį sektorių Europoje, Komitetas atkreipia dėmesį į tai, kad kai kurios finansinius sunkumus patiriančios valstybės narės vis tiek stengsis rasti investicijų įpareigojimams vykdyti. Reikia apsvarstyti galimybę paramą skirti iš daugiametės finansinės programos TIS reikalavimams laikytis, pasinaudojant įvairiomis priemonėmis, įskaitant Europos regioninės plėtros fondą (ERPF) ir galbūt Vidaus saugumo fondą.