EUROPOS KOMISIJA
Briuselis, 2017 09 13
COM(2017) 478 final
KOMISIJOS ATASKAITA EUROPOS PARLAMENTUI IR TARYBAI
dėl Europos Sąjungos tinklų ir informacijos apsaugos agentūros (ENISA) vertinimo
EUROPOS KOMISIJA
Briuselis, 2017 09 13
COM(2017) 478 final
KOMISIJOS ATASKAITA EUROPOS PARLAMENTUI IR TARYBAI
dėl Europos Sąjungos tinklų ir informacijos apsaugos agentūros (ENISA) vertinimo
1.Įvadas
1.1. Apie ENISA
Europos Sąjungos tinklų ir informacijos apsaugos agentūra (ENISA) įsteigta 2004 m., o jos įgaliojimai periodiškai atnaujinami. Dabartiniai ENISA įgaliojimai nustatyti Reglamentu (ES) Nr. 526/2013 1 (toliau – ENISA reglamentas) ir baigiasi 2020 m. birželio 19 d.
ENISA įgaliota prisidėti prie aukšto lygio tinklų ir informacijos saugumo užtikrinimo Sąjungoje. ENISA reglamente nustatyti konkretūs agentūros tikslai:
·vystyti ir išlaikyti aukšto lygio ekspertines žinias;
·padėti Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms vystyti tinklų ir informacijos saugumo politiką;
·padėti Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms ir valstybėms narėms įgyvendinti politiką, būtiną įgyvendinti tinklų ir informacijos saugumo teisinius ir norminius reikalavimus, nustatytus esamuose ir būsimuose Sąjungos teisės aktuose, ir taip padėti užtikrinti tinkamą vidaus rinkos veikimą;
·padėti Sąjungai ir valstybėms narėms didinti ir stiprinti savo pajėgumus ir parengtį užkirsti kelią tinklų ir informacijos saugumo problemoms ir incidentams, juos nustatyti ir į juos reaguoti;
·naudotis savo ekspertinėmis žiniomis siekiant skatinti platų subjektų iš viešojo ir privačiojo sektorių bendradarbiavimą.
Be to, Direktyva (ES) Nr. 2016/1148 2 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (toliau – TIS direktyva) ES teisėkūros institucijos nusprendė skirti ENISA svarbų vaidmenį įgyvendinant kibernetinio saugumo teisės aktus. Visų pirma Agentūra CSIRT tinklui (sukurtam siekiant skatinti greitą ir veiksmingą operatyvinį valstybių narių bendradarbiavimą) teikia sekretoriato paslaugas, taip pat padeda Strateginio bendradarbiavimo grupei vykdyti savo užduotis. Be to, pagal TIS direktyvą reikalaujama, kad ENISA padėtų valstybėms narėms ir Komisijai teikti ekspertines žinias, konsultuoti ir palengvinti keitimąsi geriausia praktika.
Agentūra yra įsikūrusi Graikijoje, jos administracinė buveinė yra Heraklione (Kretoje), o pagrindinė veikla vykdoma Atėnuose. Agentūroje dirba 84 darbuotojai, o jos metinis veiklos biudžetas – 11,25 mln. EUR. Agentūrai vadovauja vykdomasis direktorius, o valdymo funkciją atlieka valdančioji taryba, vykdomoji valdyba ir nuolatinė suinteresuotųjų subjektų grupė. Neoficialus nacionalinių ryšių palaikymo pareigūnų tinklas sudaro sąlygas lengviau informuoti valstybes nares.
1.2. Ataskaitos tikslas
Pagal ENISA reglamento 32 straipsnį reikalaujama, kad Komisija iki 2018 m. birželio 20 d. atliktų ENISA vertinimą, „kad visų pirma būtų įvertintas agentūros ir jos darbo metodų poveikis, veiksmingumas ir naudingumas“, ir apsvarstytų, ar reikia pratęsti dabartinius įgaliojimus.
Atsižvelgdama į reikšmingus kibernetinio saugumo padėties pokyčius, įvykusius nuo 2013 m., kai buvo priimtas dabartinis ENISA reglamentas, taip pat į pasiektą politikos, rinkos, ir technologijų brandos lygį, Komisija savo 2016 m. Komunikate dėl Europos kibernetinio atsparumo sistemos stiprinimo ir kibernetinio saugumo pramonės konkurencingumo ir novatoriškumo skatinimo 3 paskelbė paspartinsianti ENISA veiklos vertinimą ir peržiūrą. Visų pirma Komisija pažymėjo, kad ENISA veiklos peržiūra būtų galimybė sustiprinti agentūros pajėgumus ir gebėjimus tvariai padėti valstybėms narėms siekti kibernetinio saugumo atsparumo.
Ši vizija dar kartą buvo patvirtinta 2016 m. Tarybos išvadose 4 , kuriose pripažinta, kad „kibernetinės grėsmės ir pažeidžiamumas toliau keisis ir intensyvės, todėl bus reikalingas nuolatinis ir glaudesnis bendradarbiavimas, ypač valdant didelio masto tarpvalstybinius kibernetinio saugumo incidentus“. Šiose išvadose dar kartą patvirtinta, kad „ENISA reglamentas – vienas iš pagrindinių ES kibernetinio atsparumo sistemos elementų“.
ENISA vertinimo rezultatais remtasi atliekant poveikio vertinimą, pateikiamą kartu su pasiūlymu dėl Reglamento dėl Europos Sąjungos tinklų ir informacijos apsaugos agentūros (ENISA, „ES kibernetinio saugumo agentūra“), kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013, ir dėl informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo (Kibernetinio saugumo aktas).
Pagal ENISA reglamento 32 straipsnį Komisija vertinimo ataskaitą kartu su savo išvadomis turi perduoti Europos Parlamentui, Tarybai ir valdančiajai tarybai. Prie šios suvestinės ataskaitos pridedamas Komisijos tarnybų darbinis dokumentas dėl Europos Sąjungos tinklų ir informacijos saugumo agentūros vertinimo (SWD(2017) 502).
2.Pagrindiniai vertinimo rezultatai
Pagal Komisijos geresnio reglamentavimo gaires 5 , atsižvelgiant į agentūros veiklos rezultatus, valdymą, vidaus organizacinę struktūrą ir darbo metodus, įvertintas jos veiksmingumas, naudingumas, nuoseklumas, aktualumas ir kuriama Europos pridėtinė vertė.
Atliekant analizę, taip pat atsižvelgta į pasikeitusias aplinkybes, kuriomis dabar veikia agentūra, visų pirma į šiuos veiksnius: naują ES reglamentavimo ir politikos sistemą (pvz., TIS direktyvą, ES kibernetinio saugumo strategijos peržiūrą), kintančius agentūros suinteresuotųjų subjektų bendruomenės poreikius ir papildomumą bei sąsajas su kitų ES ir nacionalinių institucijų, agentūrų ir įstaigų, pvz., Europos institucijų, įstaigų ir agentūrų Kompiuterinių incidentų tyrimo tarnybos (CERT-EU) ir Europole įsteigto Europos kovos su elektroniniu nusikalstamumu centro (EC3), darbu.
Siekiant įvertinti agentūros veiklą, atlikti šie veiksmai:
·Komisija užsakė atlikti nepriklausomą tyrimą ir jis buvo vykdomas nuo 2016 m. lapkričio mėn. iki 2017 m. liepos mėn. ir kartu su Komisijos atlikta vidaus analize yra pagrindinis vertinimo informacijos šaltinis;
·tyrimo veikla apėmė dokumentų tyrimą, duomenų rinkimą ir analizę, įskaitant suinteresuotųjų subjektų apklausas, išsamius pokalbius su pagrindiniais kibernetinio saugumo srityje veikiančiais subjektais, suinteresuotųjų subjektų praktinį seminarą, lyginamąją analizę, agentūros vykdomą padėties nustatymo procedūrą ir stiprybių, silpnybių, galimybių ir grėsmių (SSGG) analizę;
·Komisija taip pat vykdė 12 savaičių viešas konsultacijas internetu, susijusias ir su ENISA ex post vertinimu, ir su jos ateitimi, taip pat tikslines konsultacijas su suinteresuotaisiais subjektais.
Pagal vertinimo kriterijus toliau apibendrinti pagrindiniai vertinimo metu nustatyti faktai.
1.Aktualumas. Atsižvelgiant į technologinę plėtrą, kintančias grėsmes ir didesnio tinklų ir informacijos saugumo poreikį ES, įsitikinta, kad ENISA tikslai yra aktualūs. Iš tiesų valstybės narės ir ES institucijos remiasi ekspertinėmis žiniomis apie pokyčius tinklų ir informacijos saugumo srityje: valstybėse narėse reikia stiprinti grėsmių suvokimo ir reagavimo į jas gebėjimus, o suinteresuotieji subjektai turi bendradarbiauti įvairiose teminėse srityse ir su įvairiomis institucijomis. Tinklų ir informacijos saugumas tebėra pagrindinis ES politikos prioritetas, ir iš ENISA tikimasi, kad ji sieks šį prioritetą įgyvendinti. Tačiau ENISA yra ES agentūra, turinti įgaliojimus veikti tam tikrą nustatytą laikotarpį, todėl: i) sparčiai kintant su grėsmėmis kibernetiniam saugumui susijusiai padėčiai, ji negali vykdyti ilgalaikio planavimo ir teikti tvarios paramos valstybėms narėms ir ES institucijoms; ii) gali atsirasti teisinis vakuumas, nes TIS direktyvos nuostatos, kuriomis ENISA pavesta vykdyti tam tikras užduotis, yra nuolatinio pobūdžio.
2.Veiksmingumas. Iš esmės ENISA pasiekė savo tikslus ir įgyvendino savo uždavinius. Ji prisidėjo prie didesnio tinklų ir informacijos saugumo Europoje vykdydama savo pagrindinę veiklą (gebėjimų stiprinimą, ekspertinių žinių teikimą, bendruomenės kūrimą ir politikos rėmimą). Agentūra taip pat parodė, kad kiekvienoje iš šių sričių ji gali tobulėti. Atlikus vertinimą, padaryta išvada, kad ENISA veiksmingai užmezgė glaudžius ir pasitikėjimu pagrįstus ryšius su kai kuriais iš savo suinteresuotųjų subjektų, visų pirma su valstybėmis narėmis ir CSIRT bendruomene. Gebėjimų stiprinimo srityje ENISA teikiama pagalba, ypač mažesnius išteklius turinčioms valstybėms narėms, laikyta veiksminga. Vienas iš svarbiausių dalykų buvo visapusiško bendradarbiavimo skatinimas – daugelis suinteresuotųjų subjektų pripažino, kad ENISA atlieka teigiamą vaidmenį suburdama žmones. Tačiau, siekdama padaryti didelį poveikį plačioje tinklų ir informacijos saugumo srityje, ENISA susidūrė su sunkumais. Taip buvo ir dėl to, kad platiems įgaliojimams įgyvendinti agentūra turėjo gana ribotus žmogiškuosius ir finansinius išteklius. Atlikus vertinimą, taip pat padaryta išvada, kad tikslą teikti ekspertines žinias ENISA įgyvendino iš dalies – tai susiję su problemomis samdant ekspertus (taip pat žr. skirsnį „Naudingumas“).
3.Naudingumas. Nepaisant mažo biudžeto – vieno iš mažiausių, palyginti su kitų ES agentūrų biudžetu, – agentūra galėjo prisidėti prie konkrečių tikslų įgyvendinimo ir taip įrodė, kad iš esmės efektyviai naudoja savo išteklius. Atlikus vertinimą, padaryta išvada, kad apskritai agentūros vykdomi procesai buvo veiksmingi, o pareigos organizacijoje aiškiai apibrėžtos, todėl darbas buvo atliekamas tinkamai. Vienas iš pagrindinių ENISA uždavinių siekiant užtikrinti darbo našumą yra susijęs su agentūrai kilusiais sunkumais samdant ir išlaikant aukštos kvalifikacijos ekspertus. Iš nustatytų faktų matyti, kad tai galima paaiškinti įvairiais kartu pasireiškiančiais veiksniais, įskaitant bendrus viešojo sektoriaus patiriamus sunkumus, kai konkuruojama su privačiuoju sektoriumi siekiant pasamdyti aukštos specializacijos ekspertus, sutarčių, kurias agentūra gali daugiausia pasiūlyti sudaryti, rūšį (terminuotosios darbo sutartys) ir su ENISA įsisteigimo vieta siejamą palyginti mažą agentūros patrauklumą, susijusį, pvz., su sunkumais, kuriuos patiria darbuotojų sutuoktiniai ieškodami darbo. Kadangi agentūra veikė dviejose vietose – Atėnuose ir Heraklione, jos veiklai koordinuoti reikėjo papildomų pastangų ir papildomų išlaidų, tačiau 2013 m. pagrindinės veiklos padalinį perkėlus į Atėnus agentūros veiklos efektyvumas padidėjo.
4.Nuoseklumas. Iš esmės ENISA veikla buvo derinama su jos suinteresuotųjų subjektų politika ir veikla nacionaliniu ir ES lygmenimis, tačiau ES lygmeniu reikia laikytis nuoseklesnio požiūrio į kibernetinį saugumą. ENISA ir kitų ES institucijų bendradarbiavimo galimybės nebuvo visiškai išnaudotos. Pasikeitus ES teisinėms ir politinėms aplinkybėms, dabartiniai ENISA įgaliojimai šiandien yra mažiau nuoseklūs.
5.Europos pridėtinė vertė. ENISA pridėtinė vertė visų pirma yra susijusi su agentūros gebėjimu gerinti bendradarbiavimą, daugiausia tarp valstybių narių, tačiau taip pat su susijusiomis tinklų ir informacijos saugumo bendruomenėmis. ES lygmeniu nėra kitų subjektų, kurie remtų tiek įvairių suinteresuotųjų subjektų bendradarbiavimą tinklų ir informacijos saugumo srityje. Agentūros teikiama pridėtinė vertė skyrėsi atsižvelgiant į skirtingus suinteresuotųjų subjektų poreikius ir išteklius (pvz., didelėse ir mažose valstybėse narėse arba valstybėse narėse ir pramonės sektoriuje) ir agentūros poreikį nustatyti savo veiklos prioritetus pagal darbo programą. Atlikus vertinimą, padaryta išvada, kad, jei ENISA veikla būtų nutraukta, tai taptų prarasta galimybe visoms valstybėms narėms. Be decentralizuotos ES agentūros valstybėse narėse bus neįmanoma užtikrinti to paties lygio bendruomenės plėtros ir bendradarbiavimo kibernetinio saugumo srityje. Jeigu ENISA palikta tuštuma būtų užpildyta dvišaliu arba regioniniu bendradarbiavimu, susiskaidymas būtų didesnis.
3.Išvados ir rekomendacijos
Atlikus vertinimą, padaryta išvada, kad ENISA reglamentu agentūrai buvo patikėti platūs įgaliojimai – taip suteikiama lankstumo galimybė, tačiau tam tikrais atvejais trūksta sutelktumo, todėl agentūrai sunku pasiekti didelį poveikį, taip pat įsitikinta, kad jos tikslai buvo aktualūs 2013–2016 m. laikotarpiu. Agentūrai pavyko pasiekti gerą naudingumo lygį ir parodyti savo veiklos ES lygmeniu pridėtinę vertę, visų pirma vykdant savo pagrindinę veiklą, pvz., organizuojant su kibernetiniais incidentais susijusias europines pratybas, teikiant paramą CSIRT bendruomenei ir atliekant grėsmių analizes. ENISA prisidėjo prie tinklų ir informacijos saugumo didinimo Europoje visų pirma remdama valstybių narių ir tinklų bei informacijos saugumo suinteresuotųjų subjektų bendradarbiavimą, taip pat vykdydama bendruomenės kūrimo ir gebėjimų stiprinimo veiklą.
Agentūra šiuos rezultatus pasiekė nepaisant keleto ankstesniuose šios ataskaitos skirsniuose ir pridedamame Komisijos tarnybų darbiniame dokumente apibūdintų problemų. Viena iš pagrindinių problemų buvo susijusi su ribotais ištekliais, kurie neatitiko plačių agentūros įgaliojimų, ypač atsižvelgiant į naujas pagal TIS direktyvą agentūrai paskirtas užduotis ir sparčiai kintančias grėsmes. ENISA taip pat tebėra vienintelė ES agentūra, turinti įgaliojimus veikti tik tam tikrą nustatytą laikotarpį, nepaisant to, kad, kaip nurodyta pirmiau, jai pavesta vykdyti su TIS direktyva susijusias užduotis.
Didėjant Europos priklausomybei nuo skaitmeninės infrastruktūros ir paslaugų, t. y. ne tik naudojantis į tinklus jungiamais prietaisais, bet ir įsivyraujant visuotiniam sujungimui, grėsmės kibernetiniam saugumui sparčiai kinta, taip pat atsiranda vis naujų grėsmių. Daiktų internetu sukuriamos naujos galimybės, susijusios su efektyviu energijos vartojimu, aplinkos apsauga, susietuoju susisiekimu, sveikatos stebėsena tikruoju laiku ir nenutrūkstamais finansiniais sandoriais skaitmeninėje ekonomikoje ir visuomenėje. Tačiau kartu su šiais verslą skatinančiais veiksniais atsiranda ir naujų silpnų vietų bei jų išnaudojimo būdų, o paveikti prietaisai gali sutrikdyti bendrosios skaitmeninės rinkos veikimą.
Atlikus vertinimą, padaryta išvada, kad dabartiniais įgaliojimais ENISA nesuteikiamos dabartiniams ir būsimiems kibernetinio saugumo uždaviniams spręsti reikalingos priemonės.
Be to, dabar dėl kibernetinio saugumo srityje veikiančių ES lygmens subjektų skaičiaus ir nepakankamo jų veiksmų koordinavimo ES lygmeniu didėja susiskaidymo rizika. ES reikalingas pagrindinis centras, kuris kovotų su naujomis horizontalaus pobūdžio grėsmėmis, turinčiomis poveikį daugeliui pramonės sektorių, ir tenkintų kibernetinio saugumo bendruomenės, visų pirma valstybių narių, ES institucijų ir įmonių, poreikius. Iš vertinimo matyti, kad reikalinga tarpsektoriniu ir (arba) horizontaliuoju pagrindu sukurta ES agentūra, turinti tvirtus įgaliojimus.
Iš vertinimo matyti, kad, nepaisant įvairių sudėtingų problemų, ENISA gali labai prisidėti prie kibernetinio saugumo didinimo ES, jeigu turėtų pakankamus įgaliojimus ir gautų deramą finansinę ir žmogiškųjų išteklių paramą.
Taip pat akivaizdu, kad reikia užtikrinti suinteresuotųjų subjektų tarpusavio bendradarbiavimą ir veiksmų koordinavimą. Vis aktualesnis tampa ES lygmens koordinuojančiojo subjekto, kuris palengvintų informacijos srautus, kuo labiau sumažintų spragas ir užtikrintų, kad nebūtų vaidmenų ir pareigų dubliavimosi, poreikis. Kaip decentralizuota ES agentūra ir neutrali tarpininkė, ENISA gali koordinuoti ES kovos su kibernetinėmis grėsmėmis metodus.
Tuo remdamasi Komisija pateikė pasiūlymą pertvarkyti ENISA ir suteikti jai nuolatinius įgaliojimus remiantis pagrindiniais agentūros pranašumais ir atsižvelgiant į naujas prioritetines veiklos sritis, pvz., kibernetinio saugumo sertifikavimo srityje. Šiais naujais įgaliojimais turėtų būti atsižvelgta į pasikeitusią realybę ir agentūra turėtų būti įgaliota tinkamai remti ES ateityje.